[PHP-users 19156]CRYPTのタイミングについて
kohei-w
kohei-w @ wd6.so-net.ne.jp
2003年 12月 1日 (月) 11:58:49 JST
kohei.Wと申します。
いつもお世話になっています。
只今、PHPでユーザー管理をするサイトを作成しています。
ユーザーが入力した値をMYSQLのテーブルとつき合わせてデータが
取れれば認証成功という具合で認証しています。
悩んでいるのは、一番初めのユーザー登録時にcrypt()したものをMYSQLに登録すると
セキュリティーは高くなると思います。
それをcrypt($今回のユーザーログインの値)と付き合わせれば認証は
可能なのだと思いますが、これでは、パスワードを忘れたお客様に
こちらが告知することが出来なくなってしまいます。
だとすると、MYSQLには平文を登録してそこからPHPに引き出したときにだけ
暗号化すればよいのでしょうか。
なんとなく、それでは不安があるような気がします。
どの時点で暗号化するのが良いのでしょうか?
それと付随してPHPからMYSQLにアクセスする際に
mysql_connect("localhost","アカウント","パスワード")を
記述しますが、その場合にも同様に
DBへのアクセス権が丸見えになってしまうのですが、
これにも何か手があるのでしょうか?
よろしくお願いします。
-------------------------------
kohei.W
kohei-w @ wd6.so-net.ne.jp
【作業環境】
windows XP
PHP 4.3.2
MYSQL 3.2.3
PHP-users メーリングリストの案内