[PHP-users 14319] Re: セッションと戻るボタンとセキュリティと

[Y.Watanabe]

わたなべです。

MT wrote on 2003/03/25 20:41
with Subject: [PHP-users 14314] セッションと戻るボタンとセキュリティと

>そこで、現在とりあえず完成とした会員登録の流れが
>
>◇メールアドレスのみ送信 → 確認メール受信 → メール記載のURLにアクセス → 
記入 →DBに登録
>
>としておりました。メール記載のURLにはセッションIDがくっついています。
>とりあえずＯＫかなと思い動かしてみましたが、お察しの通り、セッションIDがく
っついた
>URLは誰がクリックしても認証ＯＫ状態でした。

これだと、DBに登録後は必ずそのセッションを破棄、つまりsession_destroy()
しないとまずい気がします。いずれにせよPHPのセッションの本来の使い方では
ない気がするのでおすすめしません。
やはり、

>自分なりの解決法としては、基本的に上記フローで、メール送信時に受付番号を発
行し、DBに
>メールアドレスで仮登録して、セッションつけないURLにアクセスしてもらって、受
付番号で
>DBからデータ引っ張ってきて、登録完了。

という方法がよいのではないでしょうか。
（つまりPHPのセッションIDとは別な受付番号などを発行する）

なお、

>メールアドレスはUNIQUEキーにしたいので、

とあるあたりにひとつ落とし穴があって、
メールアドレスを会員IDのようなUNIQUEなキーとして使用するとした場合には、
メールアドレスの大文字小文字をどう扱うか？ということをきちんと
規定しておかないとあとで面倒なことになります。
ABC12345@nifty.com というアドレスと abc12345@nifty.com という
アドレスを「違う」と認識すべきではないはずです。
一番確実なのは「メールアドレスは全て小文字」と規定した上で
あらゆるフォーム等から入力されるメールアドレスの文字列を全て
  
  strtolower($_POST["mailaddress"]) ;

とかしてしまうのが手っ取り早くて確実な方法です。