ユーザー認証を
・電話番号orメールアドレス
・パスワード
にしたいのですが、どのように書けば良いでしょうか。
PHP
1 $sql ='SELECT * FROM user WHERE tel=? OR mail=? AND password=?';
ここの部分を変えれば良いと思うのですが、どのように書けば良いかわかりません。
よろしくお願い致します。
全体のPHPは以下です。
PHP
1<?php 2try{ 3 $tel_mail=$_POST['tel_mail']; 4 $password=$_POST['password']; 5 //サニタイジング 6 $tel_mail=htmlspecialchars($tel_mail); 7 $password=htmlspecialchars($password); 8 $password=md5($password); 9 //データベース接続 10 require_once('./conf/db_con.php'); 11 $sql ='SELECT * FROM user WHERE tel=? OR mail=? AND password=?'; 12 $stmt=$dbh->prepare($sql); 13 $data[]=$tel_mail; 14 $data[]=$password; 15 $stmt->execute($data); 16 //1行ずつ取り出し 17 $rec = $stmt->fetch(PDO::FETCH_ASSOC); 18 $dbh=null; 19}catch(Exception $e){ 20 print 'ただいま障害により大変ご迷惑をお掛けしております。'; 21 exit(); 22} 23?>
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答2件
0
ベストアンサー
ツッコミどころ満載なので、コメントで。
php
1<?php 2 3// 開発中は必ず記述 4ini_set('display_errors', true); 5error_reporting(E_ALL); 6 7try { 8// $tel_mail = $_POST['tel_mail']; 9// $password = $_POST['password']; 10 $tel_mail = filter_input(INPUT_POST, 'tel_mail'); 11 $password = filter_input(INPUT_POST, 'password'); 12 13 $dbh = new PDO('mysql:dbname=testdb;host=localhost;charset=utf8' 14 , $username 15 , $passwd 16 , array(\PDO::ATTR_ERRMODE => \PDO::ERRMODE_EXCEPTION)); 17 18 19 //サニタイジング 20// $tel_mail = htmlspecialchars($tel_mail); // <- 完全な間違い htmlspecialchars ダメ! 21// $password = htmlspecialchars($password); // <- 完全な間違い htmlspecialchars ダメ! 22 23 $sql = 'SELECT * FROM user WHERE (tel=:tel_mail OR mail=:tel_mail) AND password=:password'; 24 $stmt = $dbh->prepare($sql); 25 26 $data[':tel_mail'] = $tel_mail; 27 $data[':password'] = md5($password); // <- md5 なんて今時使うもんじゃないけど、本題ではないのでスルー 28 29 $stmt->execute($data); 30 31 //1行ずつ取り出し 32 $rec = $stmt->fetch(PDO::FETCH_ASSOC); 33} catch (Exception $e) { 34 print 'ただいま障害により大変ご迷惑をお掛けしております。'; 35 exit(); 36} 37
投稿2016/05/27 09:55
退会済みユーザー
総合スコア0
0
場当たり的な修正案に関してはKosuke_Shibuyaさんが既にコメントされているので,今後の実装の方針としてどうすればいいかについて.
こちらに認証機構の設け方についてまとめてあります.今回は「セッション認証」と称しているものに該当するかと思います.ただし, $hashes
として設けているものは,データベース内に存在していると考えます.
コーディングに関するポイント
(セキュリティ上絶対に無視できないレベルで必須)
- パスワードは直接記録したり脆弱な
md5
は使わず,より強力なpassword_hash
で作成したハッシュを取り扱う. - パスワードの照合はデータベース上では行わず,まずメールアドレス (UNIQUE制約のある前提) のみの指定で1件取り出してきておいて, 後からパスワードを
password_verify
で検証して判定する.
(セキュリティ上多くの場合において必須)
- セッションIDのハッシュ値を使ってCSRF対策を行う.
htmlspecialchars
は下処理の段階で適用してはいけない.逆に,HTMLとして表示する最終段階には絶対に適用を忘れないようにする.
(推奨)
PDO::ATTR_ERRMODE
にPDO::ERRMODE_EXCEPTION
を指定し,あらゆる処理でPDOException
がハンドルできるようにする.- 例外発生で
exit
するときはheader("Content-Type: text/plain; charset=UTF-8", true, 500);
を先に実行する.
運用に関するポイント
こちらは実運用する場合にのみ考えてください.練習用のサイトをローカルに立ち上げるだけでは気にしなくていいです.
(セキュリティ上絶対に無視できないレベルで必須)
- パスワードを送信するページはTLSで暗号化する
(推奨)
- 全てのコンテンツをTLSで暗号化する
投稿2016/05/27 23:57
総合スコア5223
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/05/28 06:36
2016/06/12 01:32
2016/06/12 01:33
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/05/27 23:39
2016/05/28 05:05
退会済みユーザー
2016/05/28 05:06