PHPベースのログインシステムを開発しています。
ユーザーにはそれぞれID(数)とパスワードがあり、ソルトを使ったハッシュとして格納されています。
ログインが成功か失敗かの確認はできるのですが、情報をどこかに格納したいです。(ユーザーが永久にログアウトしないように)
$_SESSION変数は昔よく使っていました。ですがユーザーがブラウザから離れると、望んでいないのに削除されてしまうみたいです。また、ユーザーがシステムにちょっかいを出さないとも言えないので、安全性も重要だと思っています。
ここで質問があります。
1.$_SESSION または $_COOKIE を使うべきでしょうか? それぞれどんな利点がありますか?
2.チェックボックスの“入力を記録する”はどのように実行できますか?
3.session/cookie変数に格納すべき情報はなんでしょうか?
今回の質問で、データベースセキュリティに関する問題は考慮しません。
以下は3番の質問に関する、聞きたい内容の詳細です。
- cookie/sessionに格納するべきなのはユーザーのID、ハッシュされたパスワード?
- またはIDとハッシュされていないパスワード?
- または“セッションID”とパスワード(ハッシュするか否か)?
- または“セッションID”、“ID”とパスワード(しつこいですが、ハッシュするか否か)?
ウェブサイトを可能な限り安全で、同時に効率的でユーザーが使いやすいようにしておきたいと思っています。もしセッションIDベースのアプローチをとれば、データベースにどのように格納するかの説明もいただけると嬉しいです。
よろしくおねがいします!
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。