質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.55%

ログインフォームにて入力されたパスワードをデータベースのハッシュ化された値と照合する場合について

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 639

newyee

score 151

PHPの学習で簡易サイトのログインフォームを作成しているのですが、お聞きしたいことがございます。

<?php
 session_start();//セッション開始
 if(isset($_SESSION['id'])){
   header('Location:index.php');

 }else if(isset($_POST['name']) && isset($_POAT['password'])){
   //ログインしていないが、ユーザ名とパスワードが送信された時
   //データベース接続
   $dsn = 'mysql:host=localhost;dbname=tennis;charset=utf8';
   $user = 'root';
   $password = '';

   try{
     $dbh = new PDO($dsn,$user,$password);
     $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
     $dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
     $stmt = $dbh->prepare("
      SELECT * FROM users WHERE name = :name AND password=:pass
      ");
      $stmt->bindValue(':name',$name,PDO::PARAM_STR);
      $stmt->bindValue(':pass',sha1($_POST['password'],PDO::PARAM_STR));
      $stmt->execute();
      if($row = $stmt->fetch()){
        $_SESSION['id'] = $row['id'];
        header('Location: index.php');
        exit();
      }

   }catch(PDOEception $e){
     die('エラー:' . $e->getMessage());
   }

 }else{

?>

<html>
  <head>
    <meta charset="utf-8">
    <title>テニスサークル交流サイト</title>  
  </head>
  <body>
  <h1>テニスサークル交流サイト</h1>
  <h2>ログイン</h2>
  <form action="login.php" method="post">
    <p>ユーザ名:<input type="text" name="name"></p>
    <p>パスワード:<input type="password" name="password"></p>
    <p><input type="submit" value="ログイン"></p>
  </form>
  </body>
</html>

<?php } ?>


上記コードはアクセスした際に、セッションを保持していない場合、ユーザーIDとパスワードをデータベースで照合し、データベースに存在していれば、index.phpへ、そうでなければ、ログインフォーム画面を表示するコードとなっております。
以下はデータベースにて、照合を行うテーブルの画像になります。
イメージ説明
テストデータとして、3人のデータをコマンドプロンプトより、追加しました。
3人のデータを追加した際のsqlが以下になります。

MariaDB [online_bbs]> INSERT INTO users (name,password) VALUES
    -> ('yamada',sha1('yamadapass')),
    -> ('tanaka',sha1('tanakapass')),
    -> ('kikuchi',sha1('kikuchipass'));


パスワードをテーブルに追加する際は「sha1」関数を通しています。
分からない部分といいますのは、「$stmt->bindValue(':pass',sha1($_POST['password'],PDO::PARAM_STR));」ここの部分なのですが、パスワードをテーブルよりSELECTして持ってくる際に、POSTされたパスワードを暗号化し、最終的には、暗号化されたパスワードがSELECTされるかどうかを判別しています。しかし、入力されたパスワードをハッシュ化した値が、誰が入力しても同じになってしまった場合、暗号化する意味がないように思えます。
データベースに登録する際ユーザのパスワードを暗号化するのは理解できるのですが、データベースと照合する場合に関しては、そもそもハッシュ化する値が、データベースに登録した際の値と毎回同じになってしまっていたら、暗号化の意味もないような気がしてしまいます。
上記の点につきまして、どなたかご解説頂けましたら幸いです。よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • newyee

    2019/02/26 22:13

    よくよく考えてみたら、ハッシュ化されていよういまいと、パスワードがばれてしまった時点で意味ないですよね...
    何かちょっと勘違いしてしまっていたかもしれません...

    キャンセル

  • otn

    2019/02/26 22:14

    おなじパスワードを使った場合がありえることが、どうして、「暗号化する意味はなんなのかなと」につながるのでしょうか?

    キャンセル

  • newyee

    2019/02/26 22:19

    勘違いしてしまっていました...
    実は、パスワードをハッシュ化した値が、毎回同じ値になっていたら、何故ハッシュ化する意味ってあるのかなと、変な所でひっかかってしまい、混乱してしまっていました...
    逆に、ハッシュ化した値が毎回違ってたら、データベースに登録してあるデータとの照合が不可能になりますよね...

    キャンセル

回答 2

checkベストアンサー

+1

仮にDBの設定をミスってしまって外部からDBにアクセス出来た場合でも、ログインパスワード(平文)はわからないのでログインは出来ず、システムを不正に利用される危険性が低くなるというものです。
個人的には単純なHashでは弱いパスワードを使っている場合にBFAへの対抗力が低いため、saltをつけてHash化することをおすすめします。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/02/26 21:49

    salt はレインボー対策かと。bfa 対策はストレッチングじゃないですかね?

    キャンセル

  • 2019/02/26 22:17

    ご回答ありがとうございます。
    よくよく考えてみたのですが、入力されたパスワードが、ハッシュ化され、毎回違う値に変換されていたら、データベースと照合のしようがないですよね...
    少し、混乱して勘違いしてしまっていました...
    ハッシュ化する理由としましては、データベースの内容が外部に漏れてしまった場合を考慮してのことなんですね...

    キャンセル

0

パスワードのハッシュ化はおおよそ DB のデータ流出に対して保険的に実施されます。*パスワードリスト攻撃の素材にされることを懸念してのお作法です。

そのため、誰が入力しているのかは意識しない設計になっています。

余談1
誰が入力しているかを意識する設計はマルチファクタ認証と呼ばれる別の仕組みで実現します。

余談2
暗号化すべきデータに関して以前質問したことがあります。
面白い回答を多数頂いたので紹介します。
参考:暗号化すべき情報とは?

余談3
hash 値を取るために使用しているアルゴリズムが古いです。(現在、パスワードハッシュのアルゴリズムとしては非推奨になっています)
php であれば、password_hash() を利用するのがシンプルで適切です。その時点の適切なアルゴリズム,salt,ストレッチングを適切に使用してくれます。検証には password_verify() を使用するので、select の内容も変わります。

雑談
decode できない方法を暗号化と呼ぶのは、あまり適切ではないです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/02/27 08:57

    ご丁寧にありがとうございます。
    大変、勉強になりました。
    以後、セキュリティ対策について参考にさせて頂きます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.55%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる
  • トップ
  • PHPに関する質問
  • ログインフォームにて入力されたパスワードをデータベースのハッシュ化された値と照合する場合について