Q&A
ありがとうございます。
$hiddenから外せば実現可能なのですね。
セキュリティ的に問題はないのでしょうか?
Laravelで新規登録機能を実装しました。
送信してバリデーションエラーがあるとパスワードを一から再入力する必要があります。
名前やメールアドレスなどの項目はoldメソッドを利用することで、フォームを再表示した時に直前の送信内容が入力済になります。
パスワードの場合は
request()->old('password') が null になるので使えません。
できたとしてもセキュリティ的に問題ありますか?
HTML
1<input type="password" name="password" value="{{ old('password') }}"
例えば、ユニークなnameの項目があった場合、
バリデーションに引っかかるごとに入力したパスワードが消えていては不便です。
ベストなのは非同期でnameを送信して使えるかチェックするという方法かもしれませんが。
セキュリティ的に安全な方法で、直前に入力さたパスワードを入力済にする方法はありませんか?
教えてください。よろしくお願いします。
回答2件
0
ベストアンサー
パスワードを持ち回りすると、一般的には、パスワードの漏洩リスクが高まるという理由から避けるべきとされています。なので、脆弱性診断を頼むと脆弱性と判断される可能性があります。
しかし、この辺、実は微妙なところと思っていて、伏せ字になっているパスワードの値を見るには、パソコン上で操作をしなければならないので、その時点でいろいろまずいわけです。なので、パスワードを知られることによるリスクが大きければ避けたほうがよいし、それほどリスクがないのであれば許容してもよいかもしれません。
私からの提案は、入力→確認→登録の遷移において、パスワードの入力欄を「確認画面」におくことです。そうすれば、バリデーションのエラーの時点ではパスワードを持ち回りする必要はなくなります。
投稿2019/02/17 11:32
総合スコア11701
0
php
1namespace App; 2 3class User 4{ 5 6 protected $hidden = [ 7 'password', 'remember_token', 8 ]; 9 10}
Userモデルの $hidden に含まれている 'password' を削除すれば可能だと思う。
ただし、本来、$hidden は別の目的のためにあるので、メリット、デメリットを考慮の上で。
投稿2019/02/16 05:39
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/02/17 12:40
2019/02/17 12:43
2019/02/17 12:44
2019/02/17 12:46
2019/02/17 13:01
2019/02/17 13:09
2019/02/17 13:12
2019/02/17 13:15