質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

3回答

810閲覧

PHPでログインシステムを作りたい

kazu22

総合スコア13

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

1クリップ

投稿2019/05/27 21:24

phpで特定の人だけが観覧できるようなログインシステムを作りたいです。
IDとパスワードは固定とします。

用意したファイルは以下の3つです。
login.php
config.php
.htaccess

このような形で、運用上問題はないでしょうか?
それとも、危険でしょうか?
ご教授、お願いします。

login.php

php

1session_start(); 2include('config.php'); 3 4if($_SERVER["REQUEST_METHOD"] == "POST"){ 5 if($_POST["auth_id"] == $auth_id and $_POST["auth_pass"] == $auth_pass){ 6 session_regenerate_id(true); 7 $_SESSION["login_name"] = getSha1Password($auth_id); 8 header("Location:index.php"); 9 exit; 10 }else{ 11 $error_message = "ユーザーIDかパスワードが間違っています。"; 12 } 13}

config.php

php

1$auth_id ="admin"; 2$auth_pass ="pass";

.htaccess

html

1<Files config.php> 2 order deny,allow 3 deny from all 4</Files>

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

運用上問題はないでしょうか?

ログインシステムで、個人を特定しない、ログを取らないといった時点で運用上問題だと思いますが、それは置いておいて。。。

提示のコードは一応動くのですが、多分 php をちゃんと理解してない方が作成したコードだと思います。あまり良いコードではなく、また目的と合致したコードになっていません(特定条件下で notice も吐くし)。ログインシステムは仕組みを理解して制作しないと、「運用に置いては危険」です。

$_SESSION["login_name"] を生成しているので、多分、制限されたページはそれの有無を見るのだとは思いますが、安全かどうかを見るには、そちらの実装も確認する必要があります。

認証に対しての理解が足りない以上、php 側で認証させるのは危険です。
簡易的なディレクトリ保護であれば、ダイジェスト認証かベーシック認証のほうが今の状況よりは安全と言えます。

投稿2019/05/27 23:20

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

プログラム内に記載している以上は外部から確認することはできませんが、固定で平文はやるべきではありません。
セキュリティに関する指針はIPAの安全なウェブサイトの作り方を確認してください。

…あとidもpassも仮のものかもしれませんが「固定で平文である」というのを全世界に対して発信するのもよろしくないですね。

投稿2019/05/27 21:36

m.ts10806

総合スコア80765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

IDとパスワード固定でhtaccess使うならphpじゃなくてhtaccessで認証かけた方がいいと思います。

投稿2019/05/27 21:34

hentaiman

総合スコア6389

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kazu22

2019/05/27 23:40

コメントありがとうございます。 特定の人に、フォームから文章や画像を更新してもらうようなシステムを作る時は、その制限方法は、BASIC認証で問題ないのでしょうか?
hentaiman

2019/05/27 23:45

扱う情報によるけど、基本的にはBASIC認証で問題無いという考えです。 他の回答者が言ってるようにID/PWの盗聴とか気にするとなるとhttps通信にするか、http通信のままならDigest認証にするかってところですが、kazu22さんの裁量で決めたらいいことかなと。 扱う情報がお金やクレジットや、まあ今どきは個人情報どうこうってうるさいので個人情報か、情報盗まれた時にどれだけヤバイかで判断したらいいと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問