人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

PHPで簡易的にログインが出来る方法を検討しています。

通常のフォームからPOSTでID・PASSを送信する方法やBASIC認証やCookieを与える方法など、色々考えられますが、単純に専用コードが入ったURLからアクセスさせても良いのではないか?とも思っています。
例)user_page.php?code=1s24f8e1

そこで相談ですが、GETでログインの代替をしようと思った場合の注意点をアドバイスいただければと思います。
(出来れば基礎的な事ではなく、実用に関した知識をお願いします)

尚、ログイン後の対象ページの情報は「サイトのアクセス数」や「おすすめ商品」など、個人情報が伴わないデータを予定しています。


●質問者: kt26
●カテゴリ:ウェブ制作
✍キーワード:BASIC認証 cookie PHP URL おすすめ
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● kazuminchan
●35ポイント

ぱっと思いついた所で言うと、SQLインジェクションの対策は必須ですね。

また、アフィリエイトのリンクと思われる事もあると思います。

それを嫌いパラメータを外したURLへ飛ぶ人もいると思います。(現に私がそうです)

思いついた所ではこんなもんですが、お役に立てれば、幸いです。

◎質問者からの返答

簡易ログインなので、DBは使用しないんです。(説明不足でした)

それからサニタイズなどの基本的な事は当然行います。

また、アフィリエイトのリンクか否かはURLを閲覧させる相手に知らせればいいですよね。


もっと技術的な意見が欲しかったです。


2 ● オーイェー
●35ポイント

1.ログインIDを推測してログインできる可能性

IDが連番で振られている場合は簡単に推測できるでしょうし、

ランダムだとしても桁数などが固定していれば、プログラムで総当りされて簡単に画面が閲覧される可能性が考えられます。


2.検索エンジンに登録される可能性

検索エンジンはgetを含んだままインデックスしますので、

GoogleやYahooなどの検索結果にログイン後ページが表示される可能性が考えられます。


3.お客様側がセキュリティに不信感を抱く可能性がある。

IDパスワードも無く、GETだけで入れるサービスということで

セキュリティ的に余り安全では無いと感じるお客様がいらっしゃるかもしれません。


4.プライバシーマークの審査に通らない可能性

ログイン後のページの内容によっては審査に引っかかる可能性が考えられます。

http://privacymark.jp/index.html

そもそも他の人に見られても困らないような内容でしたら1・2については問題ないかと思います。

ただ、「サイトのアクセス数」や「おすすめ商品」などであっても、

他の人に見られたくないというお客様がいらっしゃることも考慮して、

規約などで、その旨を明記しておくことがベターかと思います。

(※おすすめ商品が購入履歴などから決定されるのなら、個人的にはあまり他の人には見せたいものではないです。)

3ついては、システムに詳しくないお客様の場合は気になさらないかと思います。

また、4については、プライバシーマークを取得する気が無ければ関係の無い話でしょう。


結論としては、会員数が少ないのであればGETのログインでも問題は無いかと思います。

会員数が多い場合は、色々なお客様がいらっしゃることを考慮して

ID・PASSでのログイン方式にしておいた方が、運用上は安全かと思います。

◎質問者からの返答

詳しく多角的な見知から意見をいただき、ありがとうございます。ぜひ参考にします。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ