Web アプリケーションを開発する場合、多くの場合、PHP を使用して MySQL データベースと対話する必要があります。データベースを操作するとき、多くの場合、権限のないユーザーによる機密データへのアクセスを防ぐためにユーザー認証が必要になります。認証中の最も重要なタスクの 1 つは、ユーザーが入力したパスワードがデータベースに保存されているパスワードと一致することを確認することです。この記事では、SQL パスワード エラーを検証する際の一般的な PHP トリックをいくつか見ていきます。
- ハッシュ関数を使用する
ユーザー パスワードを保存する場合、悪意のあるユーザーによって盗まれる危険があるため、通常はパスワードをプレーン テキストでデータベースに直接保存しないでください。攻撃者たち。代わりに、パスワードを暗号化し、暗号化されたパスワードをデータベースに保存する必要があります。最も一般的な暗号化方法はハッシュ関数を使用します。
ハッシュ関数は、任意の長さのメッセージ (または「プレーンテキスト」) を固定長の出力 (通常は 16 進数または Base64 エンコードで表されます) にマップします。この出力は、多くの場合、ハッシュ値、ハッシュ値、またはダイジェストと呼ばれます。ハッシュ関数の特徴は、同じメッセージは同じハッシュ値にマッピングされますが、メッセージが異なるとハッシュ値が異なることです。
PHP には複数のハッシュ関数が用意されており、最もよく使用されるのは md5() と sha1() です。 md5() 関数を使用してパスワードを暗号化する例を次に示します。
$password = '123456';
$encrypted_password = md5($password);
ログイン後にコピー
暗号化されたパスワードは、データベースに保存するときに保存する必要があります。認証の際、ユーザーが入力したパスワードは同じハッシュ関数を使用して暗号化され、データベースに保存されているパスワードと比較される必要があります。 2 つのパスワード値が同じ場合はパスワードが一致することを意味し、そうでない場合はパスワードが一致しないことを意味します。
パスワードを比較する場合は、入力順序に注意する必要があります。たとえば、次のコードの 2 つのパスワードのハッシュは等しくありません:
$password = '123456';
$encrypted_password1 = md5($password);
$encrypted_password2 = md5($password);
if ($encrypted_password1 == $encrypted_password2) {
// Passwords match
} else {
// Passwords don't match
}ログイン後にコピー
これは、ハッシュ関数の内部状態が異なる関数呼び出し間で変化する可能性があるためです。したがって、パスワードを比較する場合は注意が必要です。
- 可逆暗号化アルゴリズムの使用を避ける
パスワード暗号化にはもう 1 つの重要な側面があります。それは、信頼できるアルゴリズムを選択することです。一般に、暗号化アルゴリズムは対称型と非対称型の 2 種類に分類されます。対称暗号化アルゴリズムでは、同じキーを使用してデータの暗号化と復号化を行うことができますが、非対称暗号化アルゴリズムでは、異なるキーを使用してデータの暗号化と復号化を行います。
パスワードを暗号化する場合は、パスワード漏洩につながる可能性があるため、可逆暗号化アルゴリズムの使用は避けてください。たとえば、次のコードは、可逆アルゴリズムを使用してパスワードを暗号化します。
$password = '123456';
$key = 'some-secret-key';
$encrypted_password = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($key), $password, MCRYPT_MODE_CBC, md5(md5($key))));
ログイン後にコピー
この暗号化方法を使用する場合、キーが漏洩するリスクがあります。攻撃者がキーを入手すると、パスワードを簡単に復号してシステムにアクセスできます。
- パスワードのセキュリティが高いハッシュ関数を使用する
暗号化アルゴリズムを選択するときは、ハッシュ関数のセキュリティも考慮する必要があります。 md5() や sha1() などの一般的なハッシュ関数は過去に広く使用されていましたが、計算能力が向上するにつれて安全ではなくなりました。攻撃者はブルートフォース手法を使用してこれらのハッシュを簡単に解読できます。
パスワードのセキュリティを向上させるには、sha256()、sha384()、sha512() など、より安全なハッシュ関数を使用する必要があります。これらのハッシュ関数の出力は長くなり、解読が難しくなります。
安全なハッシュ関数を使用する場合は、暗号化の強度を高めるためにハッシュ関数の実行回数を増やすことも考慮する必要があります。たとえば、次のコードは sha512() ハッシュ関数を使用してパスワードを暗号化し、実行回数を 1000 回に増やします。
$password = '123456';
$iterations = 1000;
$encrypted_password = hash_pbkdf2('sha512', $password, 'some-salt', $iterations, 32);ログイン後にコピー
ここでは、ハッシュ暗号化に hash_pbkdf2() 関数を使用し、実行回数を設定します。 1000まで実行されます。パスワードのセキュリティは、実行回数を増やし、より安全なハッシュ関数を使用することで大幅に向上できます。
- SQL インジェクション攻撃の防止
パスワード検証を実行するときは、SQL インジェクション攻撃の防止にも注意する必要があります。 SQL インジェクション攻撃は、攻撃者が入力フォームの脆弱性を悪用して悪意のあるコードを SQL クエリに挿入し、データベース実行プログラムを騙して悪意のある操作を実行させるときに発生します。パスワード検証中に、ユーザーが入力したデータが適切にフィルタリングされていない場合、SQL インジェクション攻撃を受ける可能性があります。
SQL インジェクション攻撃を防ぐには、プリペアド ステートメントを使用する必要があります。準備されたステートメントとは、SQL クエリを実行する前に、ユーザー入力データをフィルタリングして検証し、安全な SQL ステートメントに変換することを指します。前処理により SQL インジェクション攻撃を防止し、悪意のある攻撃からデータベースを保護します。
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->execute(array(':username' => $username, ':password' => $password));
$row = $stmt->fetch(PDO::FETCH_ASSOC);
if($row) {
// Password match
} else {
// Password does not match
}ログイン後にコピー
ここでは、PDO プリペアド ステートメントを使用して SQL クエリを実行し、パラメーターをバインドすることでユーザーが入力したデータをフィルター処理します。
概要
PHP で SQL パスワード エラーを検証する場合は、いくつかの手法から選択できます。ハッシュ関数を使用し、可逆暗号化アルゴリズムの使用を回避し、より高いパスワード セキュリティを持つハッシュ関数を使用し、SQL インジェクション攻撃を防止することで、パスワード検証のセキュリティを向上させることができます。パスワード検証を行うときは、ユーザーが入力したパスワードがデータベースに保存されているパスワードと一致することを確認し、SQL インジェクション攻撃のリスクから保護するように注意する必要があります。
以上がSQL パスワード エラーを検証する際の PHP の一般的な手法について説明します。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
