PHP のデータベースは、より安全な永続ログインと記憶機能を実装します。

この記事では、より安全な永続ログインを実現するための PHP のデータベース機能を中心に紹介しますので、興味のある方は参考にしていただければ幸いです。

永続ログインとは、ブラウザ セッション間で継続的に認証を行うメカニズムを指します。つまり、訪問の間にユーザー セッションが期限切れになったとしても、今日ログインしているユーザーは明日も引き続きログインします。永続的なログインが存在すると、認証メカニズムのセキュリティは低下しますが、使いやすさは向上します。ユーザーがアクセスするたびに認証を行うのが面倒な代わりに、ログインを記憶するオプションを提供します。

私の観察によると、最も一般的な欠陥のある永続ログイン スキームは、ユーザー名とパスワードを Cookie に保存するものです。これを実行したくなるのは当然です。ユーザーにユーザー名とパスワードの入力を求める代わりに、Cookie からそれらを読み取るだけで済みます。残りの検証プロセスは通常のログインとまったく同じであるため、このシナリオは単純です。

ただし、ユーザー名とパスワードを Cookie に保存する場合は、この機能をすぐに無効にして、このセクションの残りの部分を読んで、より安全なソリューションを実装するためのアイデアを見つけてください。また、認証情報が漏洩したため、今後この Cookie を使用するすべてのユーザーにパスワードの変更を要求する必要があります。

永続的なログインには、永続的なログイン Cookie (認証 Cookie とも呼ばれます) が必要です。これは、Cookie が複数のセッションにわたって安定したデータを提供するために使用される唯一の標準メカニズムであるためです。 Cookie が永続的なアクセスを提供する場合、アプリケーションのセキュリティに重大なリスクが生じるため、Cookie に保存したデータが限られた期間のみ認証に使用できるようにする必要があります。

最初のステップは、キャプチャされた永続的なログイン Cookie によってもたらされるリスクを軽減する方法を考案することです。 Cookie のキャプチャは避けたいものですが、特にこのメカニズムにより、すべてが正常に動作している場合でも検証フォームの安全性が低下する可能性があるため、多層防御プロセスを使用することが最善です。この方法では、ユーザーのパスワードなど、永続的なログインを提供する情報に基づいて Cookie を生成することはできません。

ユーザーのパスワードの使用を避けるために、1 回限りの検証にのみ有効な ID を作成できます:

コードは次のとおりです:

<?php
$token = md5(uniqid(rand(), TRUE));
?>

ユーザー セッションに保存して特定のユーザーに関連付けることはできますが、これは大前提である複数のセッションにわたってログイン状態を維持するのに役立ちません。したがって、この ID を特定のユーザーに関連付けるには、別の方法を使用する必要があります。

ユーザー名はパスワードよりも機密性が低いため、Cookie に保存すると、検証プログラムがどのユーザー ID が提供されたかを確認するのに役立ちます。ただし、より良いアプローチは、推測や発見が難しい 2 番目の ID を使用することです。ユーザー名とパスワードを保存するデータ テーブルに、2 番目の ID (識別子)、永続的なログイン ID (トークン)、および永続的なログイン タイムアウト (タイムアウト) の 3 つのフィールドを追加することを検討してください。

コードは次のとおりです。

mysql> DESCRIBE users;
+------------+------------------+------+-----+---------+-------+
| Field      | Type             | Null | Key | Default | Extra |
+------------+------------------+------+-----+---------+-------+
| username   | varchar(25)      |      | PRI |         |       |
| password   | varchar(32)      | YES  |     | NULL    |       |
| identifier | varchar(32)      | YES  | MUL | NULL    |       |
| token      | varchar(32)      | YES  |     | NULL    |       |
| timeout    | int(10) unsigned | YES  |     | NULL    |       |
+------------+------------------+------+-----+---------+-------+

2 番目の ID と永続的なログイン ID を生成して保存すると、ユーザー認証情報を含まない Cookie を作成できます。

コードは次のとおりです:

<?php
$salt = &#39;SHIFLETT&#39;;
$identifier = md5($salt . md5($username . $salt));
$token = md5(uniqid(rand(), TRUE));
$timeout = time() + 60 * 60 * 24 * 7;
setcookie(&#39;auth&#39;, "$identifier:$token", $timeout);
?>

ユーザーが永続ログイン Cookie を使用する場合、それがいくつかの基準を満たしているかどうかを確認できます:

コードは次のとおりです:

<?php
/* mysql_connect() */
/* mysql_select_db() */
$clean = array();
$mysql = array();
$now = time();
$salt = &#39;SHIFLETT&#39;;
list($identifier, $token) = explode(&#39;:&#39;, $_COOKIE[&#39;auth&#39;]);
if (ctype_alnum($identifier) && ctype_alnum($token))
{
  $clean[&#39;identifier&#39;] = $identifier;
  $clean[&#39;token&#39;] = $token;
}
else
{
  /* ... */
}
$mysql[&#39;identifier&#39;] = mysql_real_escape_string($clean[&#39;identifier&#39;]);
$sql = "SELECT username, token, timeout
        FROM   users
        WHERE  identifier = &#39;{$mysql[&#39;identifier&#39;]}&#39;";
if ($result = mysql_query($sql))
{
  if (mysql_num_rows($result))
  {
    $record = mysql_fetch_assoc($result);
    if ($clean[&#39;token&#39;] != $record[&#39;token&#39;])
    {
      /* Failed Login (wrong token) */
    }
    elseif ($now > $record[&#39;timeout&#39;])
    {
      /* Failed Login (timeout) */
    }
    elseif ($clean[&#39;identifier&#39;] !=
            md5($salt . md5($record[&#39;username&#39;] . $salt)))
    {
      /* Failed Login (invalid identifier) */
    }
    else
    {
      /* Successful Login */
    }
  }
  else
  {
    /* Failed Login (invalid identifier) */
  }
}
else
{
  /* Error */
}
?>

永久ログイン Cookie の使用を 3 つの側面で制限することを主張する必要があります。

1.Cookie の有効期限は 1 週間 (またはそれ以内) にする必要があります。
2.Cookie は 1 回の検証にのみ使用してください (検証が成功した後に削除または再生成します)。
3. Cookie の有効期限を制限します。サーバー側で 1 週間以内 (またはそれ以内)

#ユーザーを無期限に覚えておきたい場合は、ユーザーが有効期限よりも頻繁にアプリケーションにアクセスする限り、それが大きい場合は、単純に識別子を再生成します検証のたびに新しい Cookie を設定します。

もう 1 つの有用な原則は、機密性の高い操作を実行する前にユーザーにパスワードの入力を要求することです。永続的にログインしているユーザーにのみ、特に機密性の低いアプリの機能へのアクセスを許可する必要があります。機密性の高い操作を実行する前に手動で確認するようユーザーに求めることは、かけがえのないステップです。

最後に、システムからログアウトしたユーザーが実際にログアウトしていることを確認する必要があります。これには、永続的なログイン Cookie の削除も含まれます:

コードは次のとおりです:

<?php
setcookie(&#39;auth&#39;, &#39;DELETED!&#39;, time());
?>

上記の例では、Cookie に無駄な値が詰め込まれ、すぐに期限切れになるように設定されています。こうすることで、ユーザーの時計が不正確なままで Cookie が有効なままであっても、ユーザーは事実上ログアウトされます。

要約: 以上がこの記事の全内容です。皆さんの学習に役立つことを願っています。

#関連する推奨事項:

PHP は Ajax 呼び出しを通じて Baidu に接続し、Web サイトがインターネットに接続されているかどうかを検出する機能を実現します

PHP は文字列を走査して検索します

PHP WeChat インターフェイスは QR コード生成クラスを実装します

以上がPHP のデータベースは、より安全な永続ログインと記憶機能を実装します。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。