ハッシュ関数の選択とハッシュ化処理
CakePHPでは、ログイン時にはpasswordを自動的にハッシュ化して認証を行ってくれますが、そのパスワードを登録する際は、明示的にハッシュ化する必要があります。
ハッシュ関数の選択
ハッシュ関数はデフォルトではSHA-1が使用されます。変更する場合は、Security::setHash($hash)を使用して(AppController.php内で)定義することができます。
ソース:/lib/Cake/Utility/Security.php
// /app/Controller/AppController.php
public function beforeFilter(){
Security::setHash( 'sha256');
}
各ハッシュ関数でハッシュ化した際の長さになります。(length固定なのでvarcharよりcharを指定したほうが処理コストが少なくなるでしょう。)
以下がCakePHPで用意されているハッシュ方式ですが、その他PHPで使える関数をそのまま設定すればよさそうです。(要確認)
- sha1 - 40(バイト)
- md5 - 40(バイト)
- sha256 - 64(バイト)
- sha512 - 128(バイト)
- blowfish - 60(バイト) → Blowfishを使用してハッシュ化する
タイムリーにこのような記事がありました。デフォルトのsha1からは変更しておいたほうがいいかもしれません。
“日本の標準暗号”が10年ぶり大改定、国産暗号削減よりもRC4とSHA-1の監理ポスト入りが影響大
一方、より問題が大きい暗号方式もある。「運用監視暗号リスト」に回された暗号方式だ。このリストは「推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続利用を容認するもののリスト」。いわば監理ポストという位置付けだ。ストリーム暗号の128-bit RC4とハッシュ関数の「SHA-1」などが、このリストに回されている。
ハッシュ化
テキストのハッシュ化はSecurity::hash($string, $type = NULL, $salt = false)を使用して下さい。
ソース:/lib/Cake/Utility/Security.php
$password = Security::hash( $plain, 'sha512', true); // $password = $this->Auth->password( $plain);
- $string - ハッシュ化対象のテキスト
- $type - 使用するハッシュ関数
- $salt - trueに設定した場合、(/Config/Core.php)Security.saltに$stringを付与してハッシュ化を行います。
また、$this->Auth->passwordでも同様のことが行えます。この場合は、上のsetHashで設定したハッシュ関数を使用して($salt=trueで)、ハッシュ化されます。(Security::hashを呼び出しているだけ)
ソース:/lib/Cake/Controller/Component/AuthComponent.php
public static function password( $password) {
return Security::hash( $password, null, true);
}
関連記事
-
-
selectボックスを実装
今まで、selectボックスのgroupを作成するのにSet::Combineを使用していましたが、意外と簡単にできることに気付いてしまったので、ご紹介。(自分だけ知らなかったことに気付いた と言った
-
-
日付・時間のバリデーション
日付や時刻に関するバリデーションは以下のルールがビルトインされています。 date 日付 time 時刻 datetime 日時 (m:「月」を数字表記 / M:「月」を英語表記)
-
-
パス定数と変更方法やURLの取得
CakePHPは基本的にはディレクトリそのまま配置することで構築が可能ではありますが、設定パスを変更することでセキュリティに考慮した構成にすることや運用性をもたせたものにすることが可能になります。
-
-
入力文字列の長さ(文字数)をバリデーション
CakePHP 2には、コアバリデーションに文字列の長さを検証する関数が用意されています。 文字列長(コア)バリデーション minLength - 最小文字数以上であること maxLengt
-
-
ユーザ登録(仮登録・メール・本登録)
以前1.3版で投稿した「ユーザ登録」処理の2.x版を作成しました。フローは同じで以下のようにします。 1. メールアドレス・パスワードでユーザ登録 2. この時点では仮登録として、本登録用のU
-
-
CakePHP 2.x インストール
現在まで私が商用・非商用にリリースしているCakePHPアプリケーションは全て1.3.xベースで作成しています。 まだまだロードマップ的には大丈夫そうですが、お客さん向けに納品しているアプリケーショ
-
-
バリデーションエラーメッセージの取得
CakePHP 2.xになってバリデーションエラー時に返却されるメッセージのデータ形式が変更になったようです。1.3系では、ひとつのフィールドに対して返却されるメッセージは一つのルールのみですが、2.
-
-
hasOne アソシエーション
hasOneアソシエーションはテーブル間で1つのレコードに対して他のテーブルに紐付くレコードが1つの場合にjoinする場合に使用します。 CakePHPのドキュメントにならってUserモデルとP
-
-
Js/Cssファイルの読み込みや出力する方法
CakePHPのHTMLヘルパーにはjsファイルやcssファイルを読み込むためのメソッドが用意されています。ファイルを読み込むのに加えて、出力先を複数指定できるようになっています。 また、インライン
-
-
FormヘルパーのMagicOption (マジックオプション)
Formヘルパーでは、「フィールド名」,「テーブルカラムのデータ型」もしくはモデルの「バリデーション設定」によりフォーム要素を決定したり、自動で属性を付与する「マジックオプション」と呼ばれるものがある
