PHPで簡易的にログインが出来る方法を検討しています。


通常のフォームからPOSTでID・PASSを送信する方法やBASIC認証やCookieを与える方法など、色々考えられますが、単純に専用コードが入ったURLからアクセスさせても良いのではないか?とも思っています。
例)user_page.php?code=1s24f8e1

そこで相談ですが、GETでログインの代替をしようと思った場合の注意点をアドバイスいただければと思います。
(出来れば基礎的な事ではなく、実用に関した知識をお願いします)

尚、ログイン後の対象ページの情報は「サイトのアクセス数」や「おすすめ商品」など、個人情報が伴わないデータを予定しています。

回答の条件
  • 1人2回まで
  • 登録:2010/01/20 11:58:17
  • 終了:2010/01/27 12:00:03

回答(2件)

id:kazuminchan No.1

kazuminchan回答回数50ベストアンサー獲得回数02010/01/20 21:48:40

ポイント35pt

ぱっと思いついた所で言うと、SQLインジェクションの対策は必須ですね。

また、アフィリエイトのリンクと思われる事もあると思います。

それを嫌いパラメータを外したURLへ飛ぶ人もいると思います。(現に私がそうです)

思いついた所ではこんなもんですが、お役に立てれば、幸いです。

id:kt26

簡易ログインなので、DBは使用しないんです。(説明不足でした)

それからサニタイズなどの基本的な事は当然行います。

また、アフィリエイトのリンクか否かはURLを閲覧させる相手に知らせればいいですよね。


もっと技術的な意見が欲しかったです。

2010/01/20 22:59:53
id:OhYeah No.2

オーイェー回答回数81ベストアンサー獲得回数142010/01/21 14:22:49

ポイント35pt

1.ログインIDを推測してログインできる可能性

 IDが連番で振られている場合は簡単に推測できるでしょうし、

 ランダムだとしても桁数などが固定していれば、プログラムで総当りされて簡単に画面が閲覧される可能性が考えられます。


2.検索エンジンに登録される可能性

 検索エンジンはgetを含んだままインデックスしますので、

 GoogleやYahooなどの検索結果にログイン後ページが表示される可能性が考えられます。


3.お客様側がセキュリティに不信感を抱く可能性がある。

 IDパスワードも無く、GETだけで入れるサービスということで

 セキュリティ的に余り安全では無いと感じるお客様がいらっしゃるかもしれません。


4.プライバシーマークの審査に通らない可能性

 ログイン後のページの内容によっては審査に引っかかる可能性が考えられます。

 http://privacymark.jp/index.html

 

そもそも他の人に見られても困らないような内容でしたら1・2については問題ないかと思います。

ただ、「サイトのアクセス数」や「おすすめ商品」などであっても、

他の人に見られたくないというお客様がいらっしゃることも考慮して、

規約などで、その旨を明記しておくことがベターかと思います。

(※おすすめ商品が購入履歴などから決定されるのなら、個人的にはあまり他の人には見せたいものではないです。)

3ついては、システムに詳しくないお客様の場合は気になさらないかと思います。

また、4については、プライバシーマークを取得する気が無ければ関係の無い話でしょう。


結論としては、会員数が少ないのであればGETのログインでも問題は無いかと思います。

会員数が多い場合は、色々なお客様がいらっしゃることを考慮して

ID・PASSでのログイン方式にしておいた方が、運用上は安全かと思います。

id:kt26

詳しく多角的な見知から意見をいただき、ありがとうございます。ぜひ参考にします。

2010/01/21 14:46:08

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません