Q&A
リスト型攻撃のことも考慮します。
今はサービスを展開していなくユーザーがいない状態です
その場合は全員に対して再設定させなくても大丈夫ですよね?
password_hashにする場合今のコードを全部消さなくてはいけませんか?
前提・実現したいこと
sha1でパスワード認証をしているのですがあまり良くないと見たのですがどう思いますか?
password_hashに書き換えるならば今のコードを大幅に変更することになりますか?
該当のソースコード
PHP
1<?php 2session_start(); 3require('dbconnect.php'); 4 5if(!isset($_SESSION['join'])){ 6 header('Location: index.php'); 7 exit(); 8} 9 10if($_SERVER['REQUEST_METHOD'] == 'POST'){ 11 //登録処理をする 12 $sql = sprintf('INSERT INTO users SET name="%s", mail="%s", pass="%s"', 13 mysqli_real_escape_string($db, $_SESSION['join']['name']), 14 mysqli_real_escape_string($db, $_SESSION['join']['mail']), 15 mysqli_real_escape_string($db, sha1($_SESSION['join']['pass'])) 16 ); 17 mysqli_query($db, $sql) or die(mysqli_error($db)); 18 unset($_SESSION['join']); 19 20 header('Location: regist.php'); 21 exit(); 22} 23 24?>
回答2件
0
sha1でパスワード認証をしているのですがあまり良くないと見たのですがどう思いますか?
はい、単純なsha1では、ハッシュ値ともとの値の対応表もありますので、簡単なパスワードなら容易に特定できてしまいます。
とはいえ、いきなりパスワードの仕組みを変えると、過去の全ユーザーがログインできなくなってしまいますので、切り替えには考慮が必要です。
投稿2019/10/10 08:16
総合スコア145975
0
sha1でパスワード認証をしているのですがあまり良くないと見たのですがどう思いますか?
現在のコードだと、「リスト型攻撃」に対して完全に無防備 です。
password_hashに書き換えるならば今のコードを大幅に変更することになりますか?
修正箇所が1箇所なら大した手間ではないが、sha1とはいえハッシュ化された値を、コンバートするのは困難なので、ユーザー全員に対して新たにパスワードを再設定することを促さなければいけません。
投稿2019/10/10 08:15
退会済みユーザー
総合スコア0
> password_hashにする場合今のコードを全部消さなくてはいけませんか?
必要なところだけでいいんじゃないですか?
password_hashを定義してsha1のところを変えればいいですか?
よければアドバイスもらえると嬉しいです
アドバイスといわれても、何がわからないのか伝えてくれないと、教えようがありませんよ。
すみません
sha1をpassword_hashにする方法が知りたいです
とりあえず、マニュアルは読んだのかい?
このサイトでは、丸投げは非推奨の質問ということになっているので、コードを書いてはいよ!って渡すのは気が引けるわけです。
可能な限りの努力が見える質問をしてくださいませんか?
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/10/10 08:17
2019/10/10 09:38