Q&A
phpとMySQLを学んでいる者です。
フォームから受け取ったIDとパスワードをもとに、ユーザを認証するページを制作しています。制作を進めながらいろいろ調べていると、password_verifyという関数をよく目にします。パスワードがハッシュに適合するか調べるための関数なのだということはわかりました。ハッシュを作るにも別の関数が必要だということもわかりました。
この関数がなにをするのかはわかりましたが、なぜこれが必要なのかがいまいちピンときません。IDをもとにテーブルからパスワードをSELECTして、それと$_POST(フォームからはPOSTメソッドで送信してます)を照合するのとなにが違うのでしょう?わざわざハッシュなんちゃらの処理を挟むのは余計じゃないか?と思ってしまいます
回答2件
0
ベストアンサー
DBに、生のパスワードを保存することを考えていますか?
それはセキュリティー的にあり得ない方法です。
生のパスワードは(漏洩リスクを避けるために)保存してはいけません。
ユーザー認証が必要なレベルのウェブサイト(他人に漏洩してはいけない情報を扱うウェブサイト)を作るときは、最低でも「安全なウェブサイトの作り方」を全部読んで、理解できない部分がない状態になってください。
投稿2019/09/09 14:17
総合スコア85893
0
機能だけ考えるとその通りです。
生のパスワードをそのままDBに格納せずにハッシュ化された値を格納、参照するのはセキュリティ上の理由です。
代表的な例だと、
生のパスワードがそのままDBに格納されていると、DBが流出した場合に即時に不正アクセスされてしまいます。
適切にハッシュ化されていれば、DBが流出してもハッシュを突破される前にある程度の猶予が発生し、パスワードをオールリセットして不正アクセスを防ぐことが出来る可能性が高くなります。
投稿2019/09/09 14:16
編集2019/09/09 14:18
総合スコア18727
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/09/09 14:30