Skocz do zawartości
Gość mgr. inż GreeN

[PHP] - Prosty system logowania

Polecane posty

Gość mgr. inż GreeN

Witam,

 

Opis: Szybki tutorial tłumaczący budowę prostego systemu logowania.

 

config.php

Jest to plik, w którym zapiszemy sobie konfiguracje bazy MySQL tak, byśmy mieli do niej łatwy i szybki dostęp.

 

<?php
//1
$db_user = "użytkownik";
$db_server = "serwer";
$db_pass = "hasło";
$db_name = "nazwa bazy danych";
?>

 

1. Zmiennym przypisujemy dane wymagane do połączenia się z bazą danych MySQL. Kolejno są to: nazwa użytkownika, adres serwera, hasło oraz nazwa bazy danych.

 

 

 

sessions.php

Tutaj trzymać będziemy funkcje obsługujące logowanie i wylogowywanie.

 

<?php

//2
session_start();

//3
function auth()
{
   return $_SESSION["USER_AUTH"];
}

//4
function login( $login )
{
   $_SESSION["USER_AUTH"]=TRUE;
   $_SESSION["USER_ID"]=$login;    
}

//5
function logout()
{
   $_SESSION["USER_AUTH"]=FALSE;
   $_SESSION["USER_ID"]="";    
}

//6
if( $_GET['action']=="logout" ){ logout(); }

?>

 

2. Rozpoczynamy sesje. Ważnym jest, by ta funkcja znalazła się zawsze na początku, gdyż wysyła ona do przeglądarki odpowiednie nagłówki, i poprzedzona przez cokolwiek innego - nie zadziała.

3. Zwraca wartość zmiennej $_SESSION["USER_AUTH"].

4. Nadaje zmiennym odpowiednie wartości (dzięki nim, użytkownik będzie traktowany jako zalogowany).

5. Przywraca zmiennym wartości domyślne, by użytkownik był traktowany jako wylogowany.

6. Po wklepaniu w przeglądarkę adresu naszastrona.pl/index.php?action=logout (albo po kliknięciu na taki link), zostaniemy wylogowani.

 

 

login.php

Tutaj znajduje się formularz logowania i funkcja, która go obsługuje

 

<?php
//7
echo"
<form action=\"index.php?action=login\" method=post>
<input class=login type=text name=login></input>
<input class=login type=password name=pass></input>
<input class=submit type=submit value=OK></input>
</form>
";

//8
if( $_GET['action']=="login" )
{

//9
$login = $_POST['login'];
$pass = md5($_POST['pass']);

//10
$db = mysql_connect( $db_server, $db_user, $db_pass );
mysql_select_db( $db_name );
$query = "SELECT `password` FROM `users` WHERE `login`='$login'";
$query = mysql_query( $query );
$haslo = mysql_fetch_row( $query );

//11
if( $haslo[0]==$pass )
{
   login( $login );
   echo"<META HTTP-EQUIV=Refresh CONTENT=\"0; URL=index.php\">";
}
else{ echo"Zły login lub hasło!"; }

mysql_close( $db );
}
?>

 

7. Wyświetlenie odpowiedniego formularza. Można sobie go odpowiednio podrasować css'em, żeby był ładny Wink

8. Sprawdza, czy zostało zarządane logowanie (np. po kliknięciu w link naszastrona.pl/index.php?action=login)

9. Pobranie zmiennych z formularza, zakodowanie hasła, by później mogło zostać porównane z tym z bązą danych.

10. Połączenie z bazą danych, wybranie odpowiedniej bazy, wysłanie zapytania o hasło do konkretnego loginu.

11. Porównanie wpisanego hasła, z hasłem z bazy danych. Jeżeli poprawne, następuje zalogowanie i przekierowanie, jezeli błędne, wyświetla komunikat o niepoprawności hasła.

 

 

index.php

Zbieramy wszystko do kupy Smile

 

<?php
//12
include("config.php");
include("sessions.php");

//13
if($_SESSION["USER_AUTH"]==TRUE){ include("panel.php"); }
else{ include("login.php"); }
?>

 

12. Załączenie potrzebnych plików, czyli danych potrzebnych do logowania oraz funkcji obsługi sesji.

13. Sprawdzenie, czy użytkownik jest zalogowany. Jeżeli tak, wyświetlamy treść dostępną tylko dla zalogowanych, jeżeli nie, wyświetlamy formularz logowania.

 

 

Teraz pozostaje nam tylko stworzyć odpowiednią baze danych i tabele, oraz pierwszego użytkownika. Jeżeli nie potrafisz tego zrobić ręcznie, możesz skorzystać z tego skryptu (zapisać na serwerze i po prostu uruchomić w przeglądarce):

 

install.php

 

<?php
include("config.php");

echo"Łączenie z bazą danych... ";

if ( $db = mysql_connect( $db_server, $db_user, $db_pass ) ){ echo "<b>OK</b><BR>"; }
else{ echo"<strike>BŁĄD</strike><BR>"; }

echo"Wybieranie bazy danych... ";

if ( $log = mysql_select_db( $db_name ) ){ echo "<b>OK</b><BR>"; }
else{ echo"<strike>BŁĄD</strike><BR>"; }

echo"Tworzenie tabel... ";

$query = "CREATE TABLE users (id integer NOT NULL AUTO_INCREMENT, login char(16), password char(32), PRIMARY KEY(id))";

if ( $log = mysql_query($query) ){ echo "<b>OK</b><br>"; }
else{ echo"<strike>BŁĄD</strike><BR>"; }


echo"Dodawanie potrzebnych wpisów... ";

$haslo = md5("TUTAJ_NASZE_HASŁO");
$login = "TUTAJ_NASZ_LOGIN";

$query = "INSERT INTO `users` (`id`, `login`, `password`) VALUES ('', '$login', '$haslo') ";

if ( $log = mysql_query($query) ){ echo "<b>OK</b><br>Instalacja zakończona pomyślnie!"; }
else{ echo"<strike>BŁĄD</strike><BR>"; }

mysql_close($db);

?>

 

register.php

Rejestracja nowych użytkowników

 

<?php

//14
echo"
<form action=\"index.php?action=register\" method=post>
<input class=login type=text name=login></input>
<input class=login type=password name=pass></input>
<input class=submit type=submit value=Rejestruj></input>
</form>
";

//15
if( $_GET['action']=="register" && isset($_POST['login']) && isset($_POST['pass']) )
{

//16
$login = $_POST['login'];
$pass = md5($_POST['pass']);

//17
$db = mysql_connect( $db_server, $db_user, $db_pass );
mysql_select_db( $db_name );
$query = "SELECT `password` FROM `users` WHERE `login`='$login'";
$query = mysql_query( $query );
$haslo = mysql_fetch_row( $query );

//18
if( isset($haslo[0]) ) { echo"Taki użytkownik już istnieje!"; }
else
{

//19
   $query = "INSERT INTO `users` (`id`, `login`, `password`) VALUES ('', '$login', '$pass') ";
   if( $log = mysql_query($query) ){ echo "<b>OK</b><br>Zostałeś zarejestrowany!"; }
   else{ echo"Coś poszło nie tak.<BR>"; }
}

mysql_close( $db );
}

?>

 

14. Wyświetlamy taki sam formularz jak przy logowaniu.

15.Analogicznie jak w pliku login.php, sprawdzamy, czo została zarządana rejestracja (np. po kliknięciu w link naszastrona.pl/index.php?action=register). Tutaj dodajemy jeszcze dwa warunki - pola login i pass nie mogą być puste.

16. Pobranie zmiennych z formularza, zakodowanie hasła, by później mogło zostać wysłane do bazy w odpowiedniej, bezpiecznej formie.

17. Połączenie z bazą danych, wybranie odpowiedniej bazy, wysłanie zapytania o hasło do konkretnego loginu w celu sprawdzenia czy taki login w ogóle istnieje (oczywiście, powinno się to zrobić w inny sposób, ale z lenistwa po prostu skopiowałem kod z pliku login.php Wink).

18. Sprawdzamy, czy nie ma już użytkownika o takim samym loginie.

19. Jeśli wszystko jest ok, dodajemy odpowiedni rekord do bazy. Użytkownik już istnieje.

 

kick.php

Proste zabezpieczenie przed nieautoryzowanym, bezpośrednim dostępem do plików chronionych.

 

<?php

//20
if(!$_SESSION["USER_AUTH"]==TRUE)
{
   echo "Nie masz prawa tego ogladac.";
//21
   exit();
}

?>

 

20. Sprawdzamy, czy user jest zalogowany.

21. Jeżeli nie - cały dalszy kod przestanie być wykonywany.

 

Jak zadziała to w praktyce?

 

panel.php

Sprawdzamy, czy wszystko chodzi tak, jak powinno.

 

//22
<?php include("kick.php"); ?>

//23
<a href="index.php?action=logout">Wyloguj</a>

 

22. Tu warto byłoby napisać nieco więcej o funkcji include. Mówi się, że ona "dołącza" jakiś plik do kodu. No, w zasadzie tak. Chociaż bardziej trafnym określeniem byłoby "wkleja". dzięki takiemu zabiegowi, kod pliku panel.php rozpocznie się od sprawdzenia, czy użytkownik jest zalogowany. Jeżeli test się nie powiedzie, wyświetli się krótki komunikat, a wykonywanie całej strony dla bezpieczeństwa zostanie przerwane. Od teraz, dzięki krótkiej linijce

 

<?php include("kick.php"); ?>

 

jesteśmy w stanie zabezpieczyć dowolny plik przed nieautoryzowanym dostępem - wystarczy, że wstawimy ją na jego początku.

23. A tu coś, co wyświetli się, gdy okaże się, że plik uruchomiony jest przez zalogowanego użytkownika, i to nie bezpośrednio, a przez index.php. Wyświetli się link, po kliknięciu w który zostaniemy wylogowani.

 

index.php

Na koniec zmodyfikujmy jeszcze index.php by wyglądał tak:

 

<?php
include("config.php");
include("sessions.php");

if($_SESSION["USER_AUTH"]==TRUE){ include("panel.php"); }
else
{
include("login.php");
include("register.php");
}
?>

 

Po takim zabiegu, panel rejestracji zostanie wyświetlony pod panelem służącym do logowania. Cały system jest gotowy.

 

 

Chcąc wzbogacić plik index.php o jakiekolwiek inne elementy, musimy pamiętać tylko o tym, by na samym początku include'ować pliki sessions.php i config.php. Przykładowo, może to wyglądać tak:

 

 

<?php
include("config.php");
include("sessions.php");
?>

<html>
<head>
</head>
<body>
<h3>Logowanie</h3>

 

 

 

 

Pozdrawiam.

Edytowano przez mgr. inż GreeN (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mgr. inż GreeN

Teraz jest ok (błąd w przeglądarce) ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jedna uwaga po szybkim rzuceniu okiem:

$login = $_POST['login'];
$pass = md5($_POST['pass']);

$query = "SELECT `password` FROM `users` WHERE `login`='$login'";

 

1. WDPOU (Walidacja. Danych. Pochodzących. Od. Użytkowników)

2. Hasło bym posolił.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po co Ci function auth() jeżeli w całym kodzie robisz sprawdzanie if($_SESSION["USER_AUTH"]==TRUE) ?

 

W login.php bez sensu najpierw robić echo formularza a potem po sprawdzeniu warunków redirecta html-em echo"<META HTTP-EQUIV=Refresh CONTENT=\"0; URL=index.php\">";

Lepiej najpierw sprawdzić warunki i w razie czego zrobić redirecta jako header Location w php.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Poradnik żałosny. W dobie PDO i jego mechanizmów to ten sposób jest śmieszny.

Pierwsze z brzegu - jak php zachowa się, gdy wywołamy fetch_row na pustym rowsecie (czyt. jeśli login nie istnieje w bazie)?

Ano zgłosi warninga. W tym przypadku dostęp do zerowego elementu tablicy $haslo też wywoła warninga (bo owy indeks nie istnieje).

 

Dalej nie chce mi się czytać ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chociaż twój skrypt? W sieci na webtips go widziałem, temat z 2007 roku. Jeśli nie to zapodaj źródło.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

×