PHP+MySQLでこれから構築を考えているところです。
ログイン後、プロダクトの設定ページに移動した際に、プロダクトIDで詳細情報をDBから引っ張ってこようと思っていますが、ページ遷移するごとにDBにアクセスしてプロダクトIDを取得して一致しているか判別するのもなんだなぁと思ったのですが、よい方法はあるでしょうか。
ぱっと思いつくところでは、phpのセッション変数に載せることと、クッキーに保存することなのですが、どちらも書き換えが容易なので・・・
と、ここまで書いたところでふと思ったんですが、ログインのIDとパスワードもどう扱えばいいんでしょうか。
こちらもセッション変数とクッキーが一般的だと思いますが、こちらもページ遷移するたびに合致しているかDBに問い合わせるものなのでしょうか。
ちょっとメールアドレスも含まれるデータなので慎重な扱いが必要です。
よろしくお願い致します。
No.1ベストアンサー
- 回答日時:
いまいち質問の意図がわからないのですが、
クッキーやセッションIDは偽装できますが
セッション変数はユーザーが任意に変更できませんよね?
もちろんセッションIDを盗聴すればhttpセッションハイジャックが可能ですので
生存期間を設定してタイムアウトを推奨したり
クライアントの情報を読み取り二重ログインを排除したり、工夫は必要です。
>ログインのIDとパスワードもどう扱えばいいんでしょうか
それこそセッションで処理すればよい話で、普通ははセッションには含めません。
ただしhttpsなど秘匿性をたかめる必要があります
ありがとうございます。
そのセッションハイジャックを気にしての話だったのですが、
http://sawara.me/php/2348/
このあたりを読むと基本セッションIDがバレないようにということだったのですが、やはり
>生存期間を設定
>タイムアウト
のような処理が必要ということは完全ではない、ということですよね。
不勉強で申し訳ないですが、逆にSSLを使えばセッションハイジャックは気にしなくても大丈夫でしょうか?
No.2
- 回答日時:
ごめんなさい、一部文字がぬけていました
>それこそセッションで処理すればよい話で、普通ははセッションには含めません。
↓↓
それこそセッションで処理すればよい話で、普通は「パスワード」はセッションには含めません。
>SSLを使えばセッションハイジャックは気にしなくても大丈夫でしょうか?
基本的には大丈夫ですが、クッキーにかかれたセッションIDは、
ブラウザ側に保存されているわけですから、ブラウザのセキュリティホールをつけば
閲覧できる可能性はあります。
とはいえ、よほどのことがない限り大丈夫でしょう
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- PHP php my adminより取り出したデータ表示 2 2022/06/15 11:56
- PHP $_SESSIONに渡した後はそのまま使っても問題ありませんか? 3 2022/11/08 22:17
- HTML・CSS htmlで画面遷移させたい 1 2022/10/28 18:19
- PHP 掲示板のセキュリティについてアドバイスお願い致します 1 2023/08/11 20:44
- JavaScript javascriptで移動ボタンを押した際に遷移するボタンを追記したい 1 2022/11/29 03:02
- PHP 「ログイン機能を持たせる」説明が気難しいです。 2 2022/10/11 02:59
- Access(アクセス) アクセス テーブルの空白を変数に置換するボタンが作りたい 4 2022/07/08 11:19
- Access(アクセス) DoCmd.SearchForRecord が動かない時の解決方法 3 2022/07/22 15:31
- PHP PHPのセッション有効期限について 5 2023/06/14 12:40
- PHP PHP ページング データベース 1 2022/06/16 10:30
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
特定のページからのみのアクセス
-
PHPのセッション有効期限について
-
リアルタイムカウンター
-
セッション変数の命名規則
-
session_set_save_handler と ...
-
セッション管理を携帯用とPC用
-
URLのパラメータをGETのままで...
-
負荷分散におけるセッションID...
-
PHP4からPHP5へ移行した際、セ...
-
Dosブロンプトでtabを出力したい
-
「取得先」という表現について
-
Yahoo! JAPAN IDを新規取得でき...
-
PHP一覧表示した項目にリンクを...
-
switch()文で値の大小比較
-
DMMの動画を全件取得したのです...
-
自分の掲示板にアクセス解析を...
-
DTOとEntityの差は何ですか。
-
ps3で久しぶりにCDの音楽情報取...
-
php 入力画面から確認表示画面...
-
小数点以下0の非表示
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
URLのパラメータをGETのままで...
-
PHPのセッション有効期限について
-
PHPのセッションについて
-
ブラウザを閉じた後もセッショ...
-
Sessionの上限について
-
$_SESSIONと、POSTやGETの違い
-
ログインしたら他からログイン...
-
複数のサーバで運営する場合の...
-
301リダイレクトはセッション引...
-
「戻る」ボタンで値の保持
-
セッションのスコープ(有効範...
-
セッション ID とセッション名...
-
ログイン画面をはさんだ後、自...
-
session_start()で生成されるセ...
-
管理者としてログイン
-
セッション変数にパスワードを...
-
セッションを維持したまま、サ...
-
PHP cookieの値が更新されない...
-
セッションが正しく更新されな...
-
POSTで情報を他のサーバーに渡...
おすすめ情報