ログインURLのBCryptハッシュパスワード

Question

私のアプリは、BCryptを使用してパスワードを暗号化するログイン/登録システムを使用しています。ユーザーがパスワードを登録すると、BCryptを使用して暗号化され、mysqlデータベースに格納されます。しかし、ユーザーがログインすると、セキュリティ上の理由からパスワードも暗号化したいと思っています。ログインURLにパスワードを入れる前にパスワードを暗号化することができますが、2つのハッシュを比較することで、動作しないようにすることができます。

は、どのように私はあまりにもログイン要求（URL）でパスワードを暗号化することができますか？

私は非常によく私の質問を説明していなかったので、私はより詳細にそれを説明しようとします。このアプリではURLリクエストを送信するスクリプトがあります（例：site/login.php？username = name &パスワード=パスワード 私の訪問者のログを私のcpanelに戻すと、&パスワードフィールドを読むことができます。私のユーザーのパスワードそれは私がないようにすることだ、私も、私は私はあなたがあなたのログインフォームに「GET」メソッドを使用する代わりに、で、ここで何か間違ったことをやっていると思うどこにでも

Answer 1

ユーザーのパスワードを見ることができないようにそれを作りたいです"POST" W3Schoolsのから

：

機密データを送信するために取得、使用しないでください！あなたのフォームがthe POST methodを使用している場合、資格情報をチェックするPHPページへのログイン情報を送信しているとき

（URLに表示されます）、パスワードは、URLには表示されません。

EDIT：それは、より安全な外観とW3 (see Touheed Khan's answer)によって推奨されていますが、コメントで言われたことを考慮すると、POST はRiggsFolly saidとして、GETと比べないより安全です：

HTTPSは賢明な安全なメカニズムです

Answer 2

パスワードは、HTTPS接続を介して、URLとしてではなくPOSTとして送信します。 HTTPSを使用して

は、URLのアドレス部分以外のすべてを暗号化します。

HTTPSを使用する場合でもPOSTを使用する理由は、多くのサーバーがURLをログに記録し、通常はパスワードを含むためです。明らかに、サーバーログにパスワードを持たせることは、セキュリティ上の問題です。

サーバーに送信する前にパスワードをハッシュしないでください。パスワードをハッシュにするだけです。

BCryptをサーバ上で使用すると、パスワードを保存するための安全な方法は、password_hashとpassword_verify（いずれもPHP共通）です。