0


0

Cookieを使用してログインページを作成する方法

Cookieを使用してWebサイトのログインページを作成するための短いチュートリアルを探しています。

各ユーザーには「ユーザー名」と「パスワード」があります。

Cookieに「ユーザー名」と「パスワード」の両方を保存する必要がありますか? または、単に「ユーザー名」で十分ですか?

悪意のあるユーザーはこれらのCookieを何らかの方法で盗み、承認を渡すことができますか

3 Answer


2


パスワードをCookieに保存することはお勧めできません。 ユーザー名のみを保存すると、システムは基本的に完全に安全ではなくなります。 クライアントは、サーバーに送信するCookieの内容を完全に制御できることに注意してください。 任意のユーザー名を送信できます。 特定のセッション用の認証トークンを作成し(おそらくそれに関連する有効期限付き)、それをCookieに保存する必要があります。 Cookieの改ざんを防ぐには、サーバーで署名(および暗号化)し、署名を検証する必要があります。

とはいえ、それを正しく行うことは簡単なことではありません。 車輪を再発明しないでください。 プラットフォームが提供する認証メカニズムを使用します。


0


ユーザーのパスワードをデータベースに保存し、何らかの方法でそれらを難読化し続ける必要があります。 PHPには、md5()と呼ばれる組み込み関数があります。

php.netのガイドをご覧ください。

これらの概念を理解するのに苦労しているなら、PHPフレームワークを使用することをお勧めします。 私が選んだフレームワークはcakePHPです。これにより、認証などが簡単になります(別のトップフレームワークはCode Igniterです)。