Q&A
> 違うパスワード
とくに法則性とかいらないのですよね?
前提・実現したいこと
お世話になっております。
パスワードを持たないユーザーを取得して1件ずつパスワードを発行してUPDATEしたいです。
普通にUPDATEすると全く同じパスワードで反映されてしまうのでこれを1件ずつ別々の文字列のパスワードを反映したいです。
初歩的な部分かもしれないのですがお知恵をお貸しいただけますと大変助かります。
よろしくお願い致しますm(_ _)m
※下記のusersテーブルでパスワードを持っていないuser_id毎に違うパスワードを発行したい
| user_id | user_pw | user_name |
|---|---|---|
| 1 | ユーザー1 | |
| 2 | ユーザー2 | |
| 3 | ユーザー3 | |
| 4 | ユーザー4 | |
| 5 | ユーザー5 |
⬇現在の状態
| user_id | user_pw | user_name |
|---|---|---|
| 1 | 12345678 | ユーザー1 |
| 2 | 12345678 | ユーザー2 |
| 3 | 12345678 | ユーザー3 |
| 4 | 12345678 | ユーザー4 |
| 5 | 12345678 | ユーザー5 |
⬇理想の形
| user_id | user_pw | user_name |
|---|---|---|
| 1 | 12345678 | ユーザー1 |
| 2 | 1234abcd | ユーザー2 |
| 3 | abcd1234 | ユーザー3 |
| 4 | 5678abcd | ユーザー4 |
| 5 | abcdefgh | ユーザー5 |
該当のソースコード
php
1# パスワード発行用 2$num = 8; 3$ar1 = range('a','z'); 4$ar2 = range('A','Z'); 5$ar3 = range('0','9'); 6$ar_all = array_merge($ar1,$ar2, $ar3); 7shuffle($ar_all); 8$pass = substr(implode($ar_all), 0, $num); 9 10 11# パスワードを持っていないユーザーを取得してパスワード発行 12$sql = ' 13 UPDATE users 14 SET pass = :pass 15 WHERE user_id = :user_id 16'; 17$prepare = $dbn->prepare($sql); 18$prepare->bindValue(':pass', $pass); 19$prepare->bindValue(':user_id', ''); 20$prepare->execute();
追記
これでランダム文字列をhash化して初期値の設定はできました。
php
1foreach($user as $user_id) { 2 $pass = substr(bin2hex(random_bytes($num)), 0, $num); 3 $hash = password_hash($pass, PASSWORD_BCRYPT); 4 $sql = ' 5 UPDATE users 6 SET user_pw = :user_pw 7 WHERE user_id = :user_id 8 '; 9 $prepare = $dbn->prepare($sql); 10 $prepare->bindValue(':user_pw', $hash); 11 $prepare->bindValue(':user_id', $user_id); 12 $prepare->execute(); 13}
回答2件
0
これ、実務で使用しているものですよね?
一般的なパスワード再設定の方法を模倣するのが良いです。
パスワード設定用(初期化用)の画面のURL + token を送付し、ユーザの手でパスワードを設定させてください。
質問にある方向性は、設計も実装もひどすぎます。
セキュアな設計/コーディングを基礎から学ぶことをおすすめします。
投稿2020/03/02 10:02
退会済みユーザー
総合スコア0
>設計も実装もひどすぎます。セキュアな設計/コーディングを基礎から学ぶことをおすすめします。
基礎から見直します。ご指摘ありがとうございます!
そうしてください。
フレームワーク等の実装を参考にすると良いです。
また、どうしてもパスワードの初期値としてランダム文字列を使用するのであれば、最低限8桁できれば10桁以上を使用し、 暗号論的に安全とされている生成方法を取るのが必須です。
random_bytes() を使用しておけばとりあえず安全です。
0
ベストアンサー
「1件ずつ発行してUPDATEしたい」と要件にあるように、パスワード未設定のユーザーをSELECTし、ループして1件ずつ指定するしかないかと思います。
もし「ランダムでも同じパスワードは避ける」のであれば再帰処理を行う必要がありますが、ユーザーが違うのであれば何かで被っても問題は起きにくいかと思います。
気になるのであれば桁数を8桁とか10桁とか増やしたり英数字、大文字小文字、記号を混ぜるなどルールを増やした方が良いです。
あと、そもそもですが、パスワードをそのまま平文で持っておくのはセキュリティ的によろしくないので、必ず暗号文にしてください。
投稿2020/03/02 07:31
編集2020/03/02 08:12
総合スコア80850
暗号化ではなくハッシュ化では?
->この場合勝手に指定しちゃうので、暗号化でもいいのか、、
忘れてください。
対義語の「暗号文」のほうが良かったですかね。
ひとまず「そのまま入れちゃダメ」と伝われば良いので。
なるほど、SELECTしたのをループさせる必要があるんですね…
$sql = 'SELECT * FROM `users` WHERE `user_pw` = :user_pw';
$prepare = $dbn->prepare($sql);
$prepare->bindValue(':user_pw', '');
$prepare->execute();
$result = $prepare->fetch(PDO::FETCH_ASSOC);
このように取得したのをwhile文なりでループさせるということですよね?
>パスワードをそのまま平文で持っておくのはセキュリティ的によろしくないので、必ず暗号文にしてください。
とても重要な部分ですよね、ご指摘ありがとうございます。注意します!
はい。ただ、空を条件に指定したいのであればバインドの必要はないですし、is nullなども考慮してあげてください。
すみません、ループさせて1件ずつ処理するということは理解できたのですが
ループさせたものをどのようにUPDATEに反映させればよいかわからずです
ループのさせ方もおかしいのでしょうか?理解力がなくすみませんm(_ _)m
$results = $prepare->fetch(PDO::FETCH_ASSOC);
foreach($results as $result){
$data = $result;
}
これをこのようにするのでしょうか?
$stmt = $this->pdo->prepare('
UPDATE `users`
SET `user_pw` = :pass
WHERE `user_id` = :user_id
');
$stmt->bindValue(':pass', $pass);
$stmt->bindValue(':user_id', $data);
$stmt->execute();
あの、なぜパスワードを条件に?同じパスワードがあったら書き変わってしまいますよ。
use_idなど一意な情報を条件にしましょう。
教えていただいた内容で続けてみます。
ありがとうございました。
あなたの回答
tips
プレビュー
