[PHP-users 17521]Sessionをつかったログイン情報の保存

キャスター マイルド caster_mild_49401219 @ hotmail.com
2003年 8月 26日 (火) 23:28:25 JST


こんばんは。
いつもありがとうございます。
常に質問する側で申し訳ないです。
お忙しいところ失礼しますが、
皆様のお時間の許す限り、お力添えをお願いします。

redhat7.3+php-4.1.2-7.3.6+postgresql-7.2.3-5.73を使用しています。

会員型のページで、
ユーザーにIDとパスワードを使ってログインしてもらい、
DBに正しいかどうか問い合わせて、
正しければ、情報をセッションに保管させて、
他のPHPページに移ってもきちんとログインできたと言うことと
どのユーザーかを特定できるようにしたいと思います。

クッキーに情報が保存されるので、
データの保管を慎重に行いたいのですが、
私の知識不足でクッキーについてもよく分かっていない状態です。

やり方を何通りか考えたのですが、
以下で間違った考え方を指摘して下さい。
(なんか、情報処理の試験みたいですいません・・・)

すべてのやり方が悪い!こんなやり方有るよ〜
と言うのがございましたらご教授下さい。

1.ログイン成功後、IDとパスワードを
  セッションに保管させる。
  他のページに移るたびに、そのIDとパスワードが
  正しいかどうかDBに問い合わせ、検証する。
2.ログイン成功後、IDのみを
  セッションに保管させる。
  セッションに保管されたIDは正しいので、
  ページの移動時にはパスワードの検証は無しで、
  保管されたIDのみでユーザーを認知する。
※この場合、ユーザーがクッキーをいじって
 他のユーザーになりすますことが可能なら危険ですが、
 そんなことできるのでしょうか?
3.ログイン成功後、IDをセッションに保管させる。
  その際に、一時的なパスワードを発生させ、
  DBに登録する。
  その一時的なパスワードもセッションに保管する。
  他のページに移るたびに、そのIDと
  一時的なパスワードが正しいかどうかを
  DBに問い合わせ、検証する。

とりあえず、現在思いついているのはこのくらいです。
皆様のご意見をお聞かせ下さい。
長文失礼しました。


PHP-users メーリングリストの案内