ホーム>ネットワークプログラミングチュートリアル

PHP で crypt() を使用してユーザー認証を実装する

著者:Eve Cole 更新時間:2009-06-01 18:20:01
PHP アプリケーションを開発するときに新しい暗号化アルゴリズムを自分で開発したくない場合は、PHP が提供する crypt() 関数を使用して一方向暗号化関数を完成することもできます。

crypt() を理解する

Windows 以外のプラットフォームの使用経験が少しある読者は、crypt() についてよく知っているかもしれません。この関数は、一部のプレーン コードを暗号化できますが、パスワードを元に戻すことはできません。プレーンコード。 crypt() 関数は次のように定義されます。

文字列暗号化 (文字列 input_string [, 文字列ソルト])

このうち、input_string パラメータは暗号化する必要がある平文文字列で、2 番目のオプションのソルトは暗号化されたパスワードに影響を与え、さらに解読される可能性を排除するビット文字列です。デフォルトでは、PHP は 2 文字の DES 干渉文字列を使用します。システムが MD5 を使用する場合 (次のセクションを参照)、PHP は 12 文字の干渉文字列を使用します。システムが使用する干渉ストリングの長さは、次のコマンドを実行することで確認できます。

print "システムのソルト サイズは次のとおりです: "。

crypt() は 4 つの暗号化アルゴリズムをサポートしています。表 19.1 は、サポートされているアルゴリズムと対応する Salt パラメータの長さを示しています。

テーブル crypt() は 4 つの暗号化アルゴリズムをサポートします

アルゴリズムソルトの長さ
CRYPT_STD_DES 2 文字 (デフォルト)
CRYPT_EXT_DES 9 文字
CRYPT_MD5 $1$ で始まる 12 文字
CRYPT_BLOWFISH $2$ で始まる 16 文字

表面上、crypt() 関数はほとんど役に立たないように見えますが、この関数は実際にシステム パスワードの整合性を保証するために広く使用されています。なぜなら、一方向暗号化パスワードは第三者の手に渡っても平文に戻すことができないため、あまり役に立たないからです。

crypt()を使用したユーザー認証の実装

前の部分では、crypt() 関数の機能を簡単に紹介しました。次に、この関数はユーザー認証を実装するために使用されます。これは、セクション 19.2.3 で紹介したものと同じです。

1 <!--check_user_crypt.php: crypt() 関数を使用してユーザーを確認します---------------->
2 <?php
3 $ユーザー名=$_POST["ユーザー名"];
4 require_once("sys_conf.inc"); //データベース構成情報を含むシステム構成ファイル
5
6 //データベースに接続します
7 $link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);
8 mysql_select_db($DBNAME) //データベース my_chat を選択します。
9
10 //ログインユーザー情報の有無を問い合わせる
11 $str="名前 ='$user_name' のユーザーから名前、パスワードを選択します。";
12 $result=mysql_query($str,$link_id); //クエリを実行します。
13 @$rows=mysql_num_rows($result); //クエリ結果から取得したレコードの数
14 $ユーザー名=$_SESSION["ユーザー名"];
15 $パスワード=$_POST["パスワード"];
16 $salt = substr($password, 0, 2);
17 $password_en=crypt($password,$salt) //crypt() を使用してユーザーのパスワードを暗号化します。
18
19 //古いユーザー向け
20 if($rows!=0)
21 {
22 list($name,$pwd)=mysql_fetch_row($result);
23
24 //パスワードが正しく入力されていれば
25 if($pwd==$password_en)
26 {
27 $str="ユーザー セット is_online =1 を更新します。ここで、名前 ='$user_name' およびパスワード ='$password_en'";
28 $result=mysql_query($str, $link_id);//クエリを実行
29 require("main.php") //チャットページに移動します。
30}
31 //パスワード入力エラー
32 その他
33 {
34 require("relogin.php");
35}
36
37 }
38 //新規ユーザーの場合、自分の情報をデータベースに書き込みます
39 その他
40 {
41 $str="ユーザー (名前,パスワード,is_online) 値に挿入('$ユーザー名','$パスワード_en',1)";
42 $result=mysql_query($str, $link_id) //クエリを実行
43 require("main.php") //チャットページに移動します。
44}
45 //データベースを閉じる
46 mysql_close($link_id);
47?>

この例は、前のセクションで紹介したユーザー情報を保護するための XOR 暗号化アルゴリズムの使用に非常に似ています。重要な部分は、crypt() 関数を使用して 16 行目と 17 行目で暗号化されたパスワードを取得し、そのパスワードを取得することです。データベースは 25 行目で比較され、暗号化されたパスワードが等しいかどうかを確認して、ユーザーが正当であるかどうかを確認します。

次に、暗号化されたパスワードがどのようになるかを例で見てみましょう。

たとえば、ユーザー名がrock、パスワードが123456の場合、暗号化されたパスワードは次のようになります。

12tir.zIbWQ3c

以上で簡単なユーザー認証システムが実装されました。重要な機密情報を保護するために crypt() を使用する場合、デフォルト状態での crypt() の使用は最も安全ではなく、セキュリティ要件が低いシステムでのみ使用できることに注意してください。
関連記事