オンライン攻撃が増加するにつれて、パスワードのセキュリティがますます重要になっています。開発者として私たちは、アプリケーションが単純なゲームであっても、極秘のビジネス文書のリポジトリであっても、セキュリティの管理、ハッシュの計算、ユーザー パスワードの保存に責任を負います。 PHP には、パスワードの保護を容易にする組み込みツールがいくつかあります。このセクションでは、最新のセキュリティ対策に従ってこれらのツールを使用する方法について説明します。
1. パスワード保護の 3 つの原則
ユーザーのパスワードを知ってはなりません
アプリケーションのデータベースがハッキングされた場合、ユーザーのパスワードを取得する方法はありません。 、絶対にそれは望ましくありません データベースにはプレーンテキストまたは復号可能なパスワードが存在します。いつでも、知識が少ないほど安全です。
ユーザーのパスワードを決して制限しないでください
パスワードを特定のパターンに準拠させる必要がある場合、実際には悪意のある人々がアプリケーションを攻撃する手段を提供することになります。パスワードを制限する必要がある場合は、パスワードのみを制限することをお勧めします。パスワードや辞書に基づいて作成されたパスワードをブラックリストに登録することもお勧めします。
ユーザーのパスワードを電子メールで送信しないでください
ユーザーにパスワードを電子メールで送信すると、ユーザーは次の 3 つのことを知ることになります: あなたは彼のパスワードを知っていること、そしてあなたは彼のパスワードを平文または復号化できる方法で保存していることインターネット上でプレーンテキストのパスワードを送信することを心配する必要はありません。
パスワードを設定または変更するための URL を電子メールで送信する必要があります。通常、このトークンはパスワードの設定または変更時に 1 回だけ使用されます。ユーザーがこの URL にアクセスすると、アプリケーションはトークンが有効であるかどうかを確認し、操作が完了すると操作を続行します。そして再利用することはできません。
2. パスワード保存アルゴリズム
パスワード保存に関するベスト プラクティスは、ユーザーのパスワードを暗号化するのではなく、パスワードのハッシュ値を計算することです。暗号化とハッシュは同じものではありません。暗号化されたデータは復号化できますが、ハッシュは一方向のアルゴリズムであり、ハッシュされたデータは元の値に戻すことができません。同じデータは常に同じです。
ユーザーのパスワードをデータベースに保存するには、まずパスワードのハッシュ値を計算し、次にパスワードのハッシュ値をデータベースに保存する必要があります。ハッカーがデータベースに侵入した場合、意味のないパスワードのみが表示されます。ハッシュ値を解読するには多大な時間と NSA リソースが必要になります。
多くのハッシュ アルゴリズム (md5、SHA1、bcrypt、scrypt など) が存在します。一部のアルゴリズムは高速で、データの整合性を検証するために使用されますが、一部のアルゴリズムは非常に遅く、セキュリティを向上させるために設計されています。パスワードを生成および保存するときは、低速で安全性の高いアルゴリズムを使用してください。
現在、最も安全なアルゴリズムは bcrypt です。md5 や SHA1 とは異なり、bcrypt アルゴリズムは潜在的なレインボー テーブル攻撃を防ぐために、意図的に低速になるように設計されています。特に安全なハッシュを生成します。このプロセスでデータが処理される回数を作業係数と呼びます。作業係数の値が高いほど、パスワードの解読にかかる時間が長くなり、セキュリティが向上します。 bcrypt アルゴリズムが時代遅れになることはありません。コンピュータの動作速度が速くなった場合、必要なのは作業係数の値を増やすだけです。
3. パスワード ハッシュ API
幸いなことに、PHP 5.5.0 のネイティブ ハッシュ API (http://php.net/manual/) では、ユーザー パスワードを処理する際に考慮すべきことがたくさんあることがわかりました。 zh/book.password.php ) は、パスワード ハッシュの計算とパスワードの検証の操作を大幅に簡素化する多くの使いやすい関数を提供します。さらに、このパスワード ハッシュ API はデフォルトで bcrpt アルゴリズムを使用します。
Web アプリケーションを開発する場合、パスワード ハッシュ API は登録ユーザーとユーザー ログインの 2 つの場所で使用されます。Laravel が提供するユーザー登録とログインを例として、PHP を使用するときにこれら 2 つの側面を簡素化する方法を見てみましょう。パスワードハッシュ API の操作。
注: Laraval フレームワークの組み込みユーザー登録およびログイン関数は、PHP ハッシュ API を使用してパスワードを保存および検証します。
Registered User
ユーザー登録は AuthController で完了し、新しいユーザーの作成はコントローラーの create メソッドで実装されます:
ここでは Laravel が提供する補助関数 bcrypt が使用されていることがわかります。ユーザーを送信するには、パスワードがハッシュ化されてデータベースに保存されます。 bcrypt 関数は次のように定義されます。
ここでは、hash としてエイリアスされたサービス プロバイダー インスタンスの make メソッドが実際に呼び出され、ハッシュ パスワードを実装し、HashServiceProvider を入力し、register メソッドで対応するハッシュ クラスは BcryptHasher で、このクラスには make メソッドがあります:
ここでの核心は、PHP が提供するpassword_hash 関数を呼び出すことです。この関数は 3 つのパラメータを受け取ります。最初のパラメータはユーザーが入力したパスワード値で、2 番目のパラメータは使用されるハッシュ アルゴリズムです (アルゴリズムの詳細は http://php を参照してください)。 .net/manual/zh/password.constants.php)、3 番目のパラメーターはオプションであり、ソルトとコストのオプションを含みます。これらはそれぞれ、前述の干渉文字列 (ソルト) と作業係数を表します。ハードウェアのパフォーマンスが向上するため、送信されない場合は、ランダム ソルティングとデフォルトの作業係数が使用されます (ハッシュ値の計算には通常 0.1 ~ 0.5 秒かかります)。計算が失敗すると、例外がスローされます。
ユーザーログイン
Larval では、auth.php でセッションをガードとして使用し、雄弁をプロバイダーとして使用してユーザーログイン認証を実装する例を取り上げます (実際のデフォルト設定はこのようです)。ログイン認証は最終的に validateCredentials に進みます。 EloquentUserProvider のメソッド:
$this->hasher の対応する実装も BcryptHasher クラスです。その check メソッドを確認してみましょう:
渡される最初のパラメータはユーザーが入力したパスワードです。パラメータはユーザーの登録時に保存されたパスワードのハッシュ値です。ハッシュ値が空の場合は、直接 false が返されます。それ以外の場合、この関数は、パスワード (プレーンテキスト) であるかどうかを確認するために使用されます。ハッシュ値が一致する場合は true を返し、一致しない場合は false を返します。
ハッシュ値を再計算します
上記の手順により、ユーザーはすでにログイン認証を行うことができますが、ログインする前に、既存のパスワード ハッシュ値の有効期限が切れているかどうかも確認する必要があります。有効期限が切れている場合は、パスワード ハッシュの有効期限が切れています。値を再計算する必要があります。
なぜ再計算する必要があるのですか?私たちに加わったアプリケーションは 2 年前に作成され、作業係数 10 を使用していました。現在は 20 を使用しています。これは、コンピューターが高速になり、ハッカーがより賢くなったためです。一部のユーザーのパスワード ハッシュ値は、作業係数が 10 の場合でも生成される場合があります。この場合、ログイン認証に合格した後、password_needs_refresh 関数を使用して、ユーザー レコード内の既存のハッシュ値を更新する必要があるかどうかを確認する必要があります。この関数は、指定されたパスワード ハッシュが最新のハッシュ アルゴリズムを使用して作成されていることを確認します。生成されたパスワードのハッシュ値を本当に再計算する必要がある場合は、make メソッドを使用して新しいハッシュ値を生成し、データベース内の元のパスワードを更新します。
この機能は現在 Laraval では使用されていませんが、対応する関数が BcryptHasher クラスで提供されています:

PHPSESSIONの障害の理由には、構成エラー、Cookieの問題、セッションの有効期限が含まれます。 1。構成エラー:正しいセッションをチェックして設定します。save_path。 2.Cookieの問題:Cookieが正しく設定されていることを確認してください。 3.セッションの有効期限:セッションを調整してください。GC_MAXLIFETIME値はセッション時間を延長します。

PHPでセッションの問題をデバッグする方法は次のとおりです。1。セッションが正しく開始されるかどうかを確認します。 2.セッションIDの配信を確認します。 3.セッションデータのストレージと読み取りを確認します。 4.サーバーの構成を確認します。セッションIDとデータを出力し、セッションファイルのコンテンツを表示するなど、セッション関連の問題を効果的に診断して解決できます。

session_start()への複数の呼び出しにより、警告メッセージと可能なデータ上書きが行われます。 1)PHPは警告を発し、セッションが開始されたことを促します。 2)セッションデータの予期しない上書きを引き起こす可能性があります。 3)session_status()を使用してセッションステータスを確認して、繰り返しの呼び出しを避けます。

PHPでのセッションライフサイクルの構成は、session.gc_maxlifetimeとsession.cookie_lifetimeを設定することで達成できます。 1)session.gc_maxlifetimeサーバー側のセッションデータのサバイバル時間を制御します。 0に設定すると、ブラウザが閉じているとCookieが期限切れになります。

データベースストレージセッションを使用することの主な利点には、持続性、スケーラビリティ、セキュリティが含まれます。 1。永続性:サーバーが再起動しても、セッションデータは変更されないままになります。 2。スケーラビリティ:分散システムに適用され、セッションデータが複数のサーバー間で同期されるようにします。 3。セキュリティ:データベースは、機密情報を保護するための暗号化されたストレージを提供します。

PHPでのカスタムセッション処理の実装は、SessionHandlerInterfaceインターフェイスを実装することで実行できます。具体的な手順には、次のものが含まれます。1)CussentsessionHandlerなどのSessionHandlerInterfaceを実装するクラスの作成。 2)セッションデータのライフサイクルとストレージ方法を定義するためのインターフェイス(オープン、クローズ、読み取り、書き込み、破壊、GCなど)の書き換え方法。 3)PHPスクリプトでカスタムセッションプロセッサを登録し、セッションを開始します。これにより、データをMySQLやRedisなどのメディアに保存して、パフォーマンス、セキュリティ、スケーラビリティを改善できます。

SessionIDは、ユーザーセッションのステータスを追跡するためにWebアプリケーションで使用されるメカニズムです。 1.ユーザーとサーバー間の複数のインタラクション中にユーザーのID情報を維持するために使用されるランダムに生成された文字列です。 2。サーバーは、ユーザーの複数のリクエストでこれらの要求を識別および関連付けるのに役立つCookieまたはURLパラメーターを介してクライアントに生成および送信します。 3.生成は通常、ランダムアルゴリズムを使用して、一意性と予測不可能性を確保します。 4.実際の開発では、Redisなどのメモリ内データベースを使用してセッションデータを保存してパフォーマンスとセキュリティを改善できます。

APIなどのステートレス環境でのセッションの管理は、JWTまたはCookieを使用して達成できます。 1。JWTは、無国籍とスケーラビリティに適していますが、ビッグデータに関してはサイズが大きいです。 2.cookiesはより伝統的で実装が簡単ですが、セキュリティを確保するために慎重に構成する必要があります。


ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

人気の記事

ホットツール

SublimeText3 英語版
推奨: Win バージョン、コードプロンプトをサポート!

ZendStudio 13.5.1 Mac
強力な PHP 統合開発環境

MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。

SAP NetWeaver Server Adapter for Eclipse
Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。

AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター

ホットトピック









