私はPHPでメールクライアントを作っています。私の問題は、パスワードをデータベースに保存しておき、メールを送信するときにプレーンテキストで取得する必要があることです(私はユーザー認証のためにパスワードを必要とします)。パスワードを後でプレーンテキスト(php)に保存する方法
安全な方法はありますか?
私はPHPでメールクライアントを作っています。私の問題は、パスワードをデータベースに保存しておき、メールを送信するときにプレーンテキストで取得する必要があることです(私はユーザー認証のためにパスワードを必要とします)。パスワードを後でプレーンテキスト(php)に保存する方法
安全な方法はありますか?
パスワードをプレーンテキストとして保存しないことをお勧めします。
認証には、パスワードのMD5というハッシュを生成し、データベースに格納されているハッシュを比較します。ハッシュが一致すると、ユーザーは認証されます。
ユーザーがパスワードを忘れた場合は、パスワードをリセットする必要があります。
クレイグが正しいです。しかし、あなたの本当の疑問は、「後で使うためにデータを保存するにはどうすればいいですか?
この場合、あなたはカップルのオプションがあります。
上のファイルに書き込むことができます。
は、次に、それは、あなたが開いて、平文に書き込み、それをGoogleに
fwrite(), fopen()
を使用することができます取得した後、例の多くは、彼らのです。しかし、私は@ craig1231に同意します。それは、重要な情報を平文に入れてハッシュしないことが賢明でなく安全です。
(前述のようにではない、認証のために)あなたはしかし、後で目的のために秘密を格納する必要がない場合は、PHPの
パスワードごとに鍵を選択し、その鍵を別の場所に保管してから秘密を保管します。おそらく、パスワードを所有するアカウントのいくつかの静的パラメータに基づいてキーを抽出するのが最善の方法でしょう。
このアプリケーションロジックは、パスワードを解読するためにも必要です。したがって、暗号化された値を格納しているデータベースから分離されたどこかの領域で暗号化ロジックが実行されているといいでしょう。
ユーザーの操作後にメールのみが送信される場合、ユーザーはパスワード(または保存されたメールサーバーパスワードの暗号化キーとして機能するパスワード)を入力できます。しかし、私はこれが当てはまらないと仮定し、後で使用するためにパスワードを保存する必要があります。あれは正しいですか? – Wiseguy
はい、正しいです。メールを送ったり、捜索したりする際に、パスワードが必要です。ユーザーがメールボックスを押しているときなど、メールを取得するためにパスワードが必要です。 – user1195745
パスワードが必要なのは、ユーザーがアクティブになっているときだけです。セッションに保存し、永続的に保存しないでください。それは、ユーザーが最初にログインするためにパスワードを入力することを前提としています。 – Wiseguy