teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップPHPに関する質問
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

1回答

364閲覧

MDB2インストールと読み込み

退会済みユーザー

退会済みユーザー

総合スコア0

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2017/08/04 08:25

0

0

https://www.websec-room.com/2015/03/15/2153
こちらのサイトを参考にしています。
MDB2.phpを読み込むとなっていますが、
インストールの仕方等が分かりづらいのですがいい解説があるサイト
はないでしょうか?
また、MDB2を今使ってセキュリティ的に問題がないのか、が疑問です。
login_check.php

<?php
  require_once 'MDB2.php';
  require_once("function.php");
  session_start();
  header("Content-type: text/html; charset=utf-8");
 
  //パラメーター取得
  $id = $_POST['id'];
  $password = $_POST['password'];
 
  //ログイン判定
 
  //DB接続
  $db = MDB2::connect(DNS);
  if (PEAR::isError($db)) {
    die($db->getMessage());
  }
  
  //プレースホルダで SQL 作成
  $sql = "SELECT * FROM USERS WHERE ID = ? AND IS_USER = 1;";
  
  //パラメーターの型を指定
  $stmt = $db->prepare($sql, array('text'));
  
  //パラメーターを渡して SQL 実行
  $rs = $stmt->execute(array($id));
 
  $count = 0;
  
  while ($row = $rs->fetchRow(MDB2_FETCHMODE_ASSOC)) {
    $id = $row["id"];
    $salt = $row["salt"];
    $db_password = $row["password"];
    $reset = $row["reset"];
    $count++;
   }
 
  $db->disconnect();
 
   //ログイン失敗
   if ($count != 1) {
    $_SESSION["error_status"] = 1;
    header("HTTP/1.1 301 Moved Permanently");
    header("Location: login.php"); 
    exit();
   }
 
   //パスワードリセット対応
   if ($reset == 1) {
     $_SESSION["error_status"] = 1;
    header("HTTP/1.1 301 Moved Permanently");
    header("Location: password_reset.php");
    exit();
   }
 
  //パスワード生成
   $hash = strechedPassword($salt, $password);
 
   if ($hash == $db_password) {
    //ログイン成功
 
   //セッション ID の振り直し
   session_regenerate_id(true);
    
    //セッションに ID を格納
    $_SESSION['id'] = $id;
 
    //CSRF のトークン作成
    $_SESSION["token"] = get_csrf_token();
 
    //DB接続
    $db = MDB2::connect(DNS);
    if (PEAR::isError($db)) {
      die($db->getMessage());
    }
 
    //プレースホルダで SQL 作成
    $sql = "UPDATE USERS  SET LAST_LOGIN_TIME = ? WHERE ID = ?";
  
    //パラメーターの型を指定
    $stmt = $db->prepare($sql, array('timestamp','text'));
  
    //パラメーターを渡して SQL 実行
    $stmt->execute(array(date('Y-m-d H:i:s'), $id));
 
   $db->disconnect();
 
    //リダイレクト
    header("HTTP/1.1 301 Moved Permanently");
    header("Location: welcome.php");
   } else {
 
    //ログイン失敗
    $_SESSION["error_status"] = 1;
    header("HTTP/1.1 301 Moved Permanently");
    header("Location: login.php"); 
   }
 
?>

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

Pear::MDB2というライブラリは、最終更新が2012年となっているような、もはや死に絶えたライブラリです。DB関連のライブラリは脆弱性が出るとSQLインジェクションなど致命的な結果となりますので、使ってはいけない部類のものです。

mysqliやPDOなど、現役のライブラリで書きましょう。そんな古いライブラリを使い続けたままのものは参考にしてはいけません

投稿2017/08/04 08:33

maisumakun
maisumakun

総合スコア145183

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2017/08/04 08:36

ありがとうございます。 MDB5でも脆弱性があると読んだのでそれよりも前のバージョンじゃそれはまずいですよねぇ・・・。 PDOに書き換えようと思います。 PDOやmysqliの事調べてみます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップPHPに関する質問

MDB2インストールと読み込み