PHP

PHP

PHP パスワードのクライアントへの表示について

サイト制作を行っていると、

会員制サイトを構築することも多々あると思います。

 

それで、

会員登録フォーム作成時、

ユーザーに希望のパスワードを入力させる仕様にした場合、

考えないといけないのが、

確認画面に

入力したパスワードをマスク化せずにそのまま表示させるのか

それとも、

マスクして表示させるのか

という点になります。

 

パスワードをマスク化せずに画面に直接表示させてしまうと、

入力画面の「のぞき見」「盗み見」 ※ショルダーハックと言います

キャッシュ制御の不備による情報漏洩

などの危険性が発生してしまいます。

 

その為、

当然マスクして表示させるべきなんですが、

確認画面でそのまま表示させるようにしたいと言われるお客様もいらっしゃいます。

ユーザーに入力ミスが無いかを確認させたいというのが、

目的らしいです。

 

が、

こういったサイトでは必ずパスワードの再発行フォームを作成するので、

そのフォームから再度発行すればいいだけのことです。

 

なので、

セキュリティー面と比べてどちらが重要かということを説明して、

極力マスクを掛けて表示させるように話しを持って行くしないといけないですね。

 

マスクを掛ける場合には、

PHPで構築しているサイトであれば、

とすればOKです。

 

あと、

最初の数文字だけ表示させて、その後ろの文字にマスクを掛けたい、

と言われる場合や、

逆に後ろの数文字だけマスクを掛けずに表示させたい、

と言われる場合もあります。

そのような場合は、

以下のようなコードで対応可能だと思います。

個人的には、

数文字だけ表示させるということに何の意味があるのか分からないので、

私は全文字マスクを掛ければいいと思いますが、

どうしても言われる場合には、

これで対応可能です。

 

最後に、

ユーザーが入力した値をhiddenで持たせて受け渡ししようとする場合がありますが、

この際、

パスワードのような重要な項目は注意して下さい。

hiddenのvalueにそのまま設定していると、

漏れてしまう可能性はなくはないです。

なので、

パスワードはセッションに格納した方がいいとのことです。

勿論セッションも取り扱いを間違えるとまずことになるので、

取り扱いには注意が必要です。

関連記事

  1. PHP

    PHP

    PHPExcelを使ってエクセルを出力

    弊社のお客様はほぼ不動産業者様ということで、時々物件データの図面を…

  2. ubuntu

    PHP

    PHPの最新リポジトリを追加でエラー!!

    Ubuntu(バージョンは16.xx)で構築したサーバに、PHP7…

  3. PHP

    PHP

    mb_strimwidth()が便利だと思った理由

    最近便利だと思った関数に、mb_strimwidth()があります…

  4. MySQL

    PHP

    プレースホルダ(プリペアド・ステートメント)

    私が入社する前に外注先に組んで貰ったかなり古いプログラムになるのですが…

  5. データベース

    PHP

    【phpPgAdmin】php-pgsqlをインストール

    phpPgAdminをインストール後に、ブラウザから管理画面にアク…

  6. PHP

    PHP

    【PHP】メモリ使用量を測定

    memory_get_usage:PHPのスクリプトに割り当て…

最近の記事

  1. PHP
  2. PHP
  3. 風邪予防
  4. WordPress(WP)
  5. PHP
  6. 宅建
  7. アンチWP
  8. 日本語ドメイン
  9. WordPress(WP)
  10. SSL(HTTPS通信)
PAGE TOP