セキュアなForm認証 ( ChatGPT ) の履歴(No.1)

履歴一覧
差分を表示
現在との差分を表示
ソースを表示
セキュアなForm認証 ( ChatGPT ) へ行く。
- 1 (2025-04-13 (日) 18:07:13)
- 2 (2025-04-13 (日) 18:12:03)
- 3 (2025-04-18 (金) 03:32:47)
- 4 (2025-04-18 (金) 03:33:10)
- 5 (2025-04-18 (金) 03:33:45)
- 6 (2025-04-28 (月) 20:51:05)

セキュアなフォーム認証の実装（PHP + JS）†

↑

▼ 前提条件†

サーバーサイドはPHP
フロントエンドはHTML + JavaScript（任意）
データベース（例：MySQL）にユーザー情報が保存されている
パスワードは `password_hash()` でハッシュ化済み

↑

▼ バージョン1：PHPのみのセキュア認証フォーム†

↑

login.php（ログイン画面）†

#code(php){{

?php session_start(); $csrf_token = bin2hex(random_bytes(32)); $_SESSION['csrf_token'] = $csrf_token; ?>

form method="post" action="auth.php">

   <label for="username">ユーザー名:</label>
   <input type="text" name="username" required><br>

   <label for="password">パスワード:</label>
   <input type="password" name="password" required><br>

   <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($csrf_token); ?>">

   <button type="submit">ログイン</button>

/form>
#}}

↑

auth.php（認証処理）†

#code(php){{

?php session_start();

if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {

   die('CSRFトークンが無効です');

}

$username = $_POST['username'] ?? ''; $password = $_POST['password'] ?? '';

$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8mb4', 'user', 'pass');

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?"); $stmt->execute([$username]); $user = $stmt->fetch();

if ($user && password_verify($password, $user['password'])) {

   session_regenerate_id(true);
   $_SESSION['loggedin'] = true;
   $_SESSION['username'] = $user['username'];
   echo "ログイン成功！";

} else {

   echo "ユーザー名またはパスワードが間違っています";

}

#}}

↑

▼ バージョン2：PHP + JavaScriptでのフォーム（UX改善）†

↑

login.php（クライアント側入力チェックあり）†

#code(php){{

?php session_start(); $csrf_token = bin2hex(random_bytes(32)); $_SESSION['csrf_token'] = $csrf_token; ?>

form id="loginForm" method="post" action="auth.php">

   <label for="username">ユーザー名:</label>
   <input type="text" id="username" name="username" required><br>

   <label for="password">パスワード:</label>
   <input type="password" id="password" name="password" required><br>

   <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($csrf_token); ?>">

   <button type="submit">ログイン</button>

/form>

script> document.getElementById('loginForm').addEventListener('submit', function(e) {
   const username = document.getElementById('username').value.trim();
   const password = document.getElementById('password').value.trim();

   if (username === '' || password === '') {
       e.preventDefault();
       alert("ユーザー名とパスワードは必須です。");
   }

});

/script>
#}}

↑

auth.php は同じ内容を再利用可能†

↑

▼ セキュリティ対策チェックリスト†

[x] `password_hash()` / `password_verify()` でパスワード保護
[x] `session_regenerate_id(true);` でセッション固定攻撃対策
[x] CSRFトークンを hidden に埋め込む
[x] SQLインジェクション対策（PDO + プレースホルダ）
[x] 出力時は `htmlspecialchars()` でXSS対策

↑

Kozukata Wiki