[php] System logowania i sesje Opcje

[-gosc_mufan-]

Witam mam problem.Dopiero zaczynam zabawe z php a juz musze napisac system logowania oparty mysql. Czy moglby mi ktos pomoc dokladnie chodzi o to z na stronce sa miejsca na login i haslo i po kliknieciu na loguj powino sprawdzac czy taki user jest w bazie danych. Dziekuje za szybka odpowiedz:)

----------------------
Pozwoliłem sobie zmienić nazwę
wątku : )
---
~strife

[Cysiaczek]

Skoro musisz napisać, to znaczy, że to komercyjna zabawka. Skoro nie znasz php i mysql'a, to jak chcesz to napisać? Chcesz pomocy, czy gotowca? Jak gotowca, to nie ten dział.
1. Stwórz tabelę w bazie danych zawierającą żytkowników
2. Napisz kod, który będzie pamietał uzytkownika (np. w oparciu o mechanizm sesji w php)
3. Przy stronach, które mają być zabezpieczone umieść kod sprawdzający, czy użytkownik, który odwiedz stronę ma do tego prawo. Sprawdzasz, czy osoba przedstawiająca się przez sesję jest umieszczona w bazie danch.

Jeśli nie jesteś w stanie napisać sam, to poszukaj gotowych skryptów, ale bacz na licencje.

Ten post edytował Cysiaczek 21.07.2006, 11:09:01

[adi2005]

Jest masa ksiazek na ten temat. Mozna je już kupić za ok 30zeta

[scanner]

@adi2005: jeszcze jedna taka odpowiedz i zaliczysz warna

A do autoa: Czy COKOLWIEK próbowałeś już zrobić?

[adi2005]

@scanner: Oki sorki ale jednak chciałbym wiedzieć co napisałem nie tak


---
Autor nie pytał o książki.
Pytał o konkretne zagadnienie. A to że książki są to każdy wie.
Też chcesz żeby Cie odesłać jak o coś zapytasz?
Jednym słowem: post jest zły bo nie na temat i specjalnie nabity.

A takie pytania jak to to też na PW.

~mike_mech

---
Dzięki mike-mech
~scanner

[-gosc_mufan-]

Tak probowalem sie bawic z gotowcami ale mi nie szlo. Poza tym bym wolal sam cos napisac. Mam juz gotowa baze w mysql ale nie wiem jak zaczac pisac samo logowanie.

[acztery]

formularz wysyla dane login i password do naszego skryptu. skrypt liczy uzytkownków w bazie majacych taki login i takie haslo pozniej dajesz if jezeli 1 tzn ze zalogowany dobrzez jezeli 0 to zle . jezeli bedzie dobrze mozeszesz wszystko wpakować do sessji ( imie,login,itp wedle uznania ) Wszystko wysylasz metoda POST z formularza rzecz jasna. nie zapomnij tez o MD5 tzn kodowanie hasła w manuali pisze wiecej

[strife]

Witam,

Napiszę Ci dość szybko czym jest logowanie w php i jak przebiega, ponieważ temat logowania był wałkowany i jest bardzo długo, więc sam rozumiesz, że pisać n'ty raz to samo robi się z oporem ( przynajmniej mi ). No ale przejdźmy do rzeczy, zakładam, że pewne podstawy z php znasz takie jak tworzenie warunków, pętli, zmiennych. Jeżeli już masz ten zasób wiedzy, to przejdźmy do napisania samego skryptu logowania.

Na początku tworzymy plik o dowolnej nazwie, u mnie będzie się nazywał login.php, ten plik umożliwi stworzenie tzw. zmiennej sesyjnej odpowiadającej za zalogowanie się na stronę. O zmiennach sesyjnych możesz poczytać w manualu w dziale zmienne predefiniowane. Oczywiście, samo tworzenie zmiennej sesyjnej nie wystarczy, jest potrzebny też formularz, który umożliwi nam dowolne logowanie.

Przykładowy formularz może wyglądać w ten sposób:

[HTML] pobierz, plaintext 
<form method="post" action="login.php">
    <input type="text" name="login" />
    <input type="password" name="password" />
    <input type="submit" value="zaloguj sie" />
</form>
[HTML] pobierz, plaintext 

Oczywiście ten formularz umieszczamy w naszym pliku, bądź innym wzkazującym na login.php ( action ). Gdy już mamy w takiej postaci nasz plik, przystępujemy do obrobienia go. Tak więc tworzymy warunek, który nam sprawdzi czy dane przesłane w formularzu są prawidłowe.

[PHP] pobierz, plaintext 
<?php
// powyzej badz ponizej przed tym kodem moze byc umieszczony formularz ;)
// najpierw sprawdzamy, czy wysyłane zmienne w formularzu nie są puste.
if ( ! empty( $_POST['login'] ) && ! empty( $_POST['password'] ) )
{
	// jezeli nie dokonujemy sprawdzenia poprawnosci loginu i hasla
	if ( $_POST['login'] == 'strife' && $_POST['password'] == 'admin' )
	{
		// tworzymy zmienna sesyjna
		$_SESSION['auth'] = '1';
	}
	else
	{
		echo 'Podales zly login badz haslo!';
	}
}
else
{
	echo 'Wprowadz dane do formularza :)';
}
?>
[PHP] pobierz, plaintext 

Przy tak skonstruowanym kodzie, i poprawnym wpisaniu danych zostanie dodane zmienna sesyjna o nazwie 'auth'. Zmienne sesyjne są widoczne w każdym miejscu ponieważ ich zasięg jest globalny i tutaj też zapraszam do zapoznania się z manual'em i rozdziałem o zmiennych predefiniowanych.

Następnie posiadając taką zmienną możemy w każdym miejscu sprawdzić, czy użytkownik jest zalogowany, czyli sprawdzamy czy ta zmienna istnieje.

[PHP] pobierz, plaintext 
<?php
if ( isset( $_SESSION['auth'] ) )
{
	echo 'Wiadomosc dla zalogowanego uzytkownika';
}
?>
[PHP] pobierz, plaintext 

Wszystko wydaje, się proste, ale kod który napisałem, może nie działać.. Dlaczego? W kodzie, który zaprezentowałem nie ma nigdzie zdefiniowanego startu sesji, więc tworzenie zmiennych sesyjnych i ich sprawdzanie nie ma najmniejszego sensu. Na początku kodu musi być:

[PHP] pobierz, plaintext 
<?php
session_start();
?>
[PHP] pobierz, plaintext 

Wtedy, możemy dowolnie operować na sesjach. Wszystko pięknie, ale czegoś tu brakuje... a co jeśli będziemy chcieli się wylogować, tutaj z pomocą przychodzi session_destroy" title="Zobacz w manualu PHP" target="_manual, bądź unset" title="Zobacz w manualu PHP" target="_manual, z tą różnicą, że to pierwsze usunie wszystkie zmienne sesyjne, a drugie tylko wybraną:

[PHP] pobierz, plaintext 
<?php
unset( $_SESSION['auth'] );
?>
[PHP] pobierz, plaintext 

To by było Tyle, jeżeli chodzi o samo logowanie, teraz trochę o mysql. Posłużę się do tego kodem, który już wcześniej napisałem na tym forum:

[PHP] pobierz, plaintext 
<?php
$query = mysql_query("SELECT * FROM uzytkownicy WHERE `user` = '" . $_POST['user'] . "'  ");
$fetch = mysql_fetch_array($query);
if ( $fetch ) // jesli user zostanie znaleziony w bazie
{
  if ( md5( $_POST['pass'] ) == $fetch['haslo'] ) // jesli haslo sie zgadza
  {
	 echo 'logowanie zakonczone sukcesem';
  }
  else
  {
	 echo 'Przykro mi, ale podane haslo jest bledne';
   }
}
else
{
   echo 'Podany uzytkownik nie istnieje w bazie danych';
}
 
?>
[PHP] pobierz, plaintext 

Oczywiście do takiego kodu można się przyczepić o kwestię bezpieczeństwa ( sql injection ), ale żeby nie przyciemniać tego przykładu odwołuję Cię do przyczepionego tematu sql injection na forum -> php. A więc przeanalizujmy powyższy kod, użytkownik wpisuje swój login i hasło, następnie wykonujemy zapytanie, które sprawdza czy dany użytkownik istnieje, jeżeli tak sprawdzamy hasło, i miejscu gdzie pojawia się informacja o poprawnym zalogwaniu, możemy dodać naszą zmienną sesyjną.

Mam nadzieję, że już mniej więcej wiesz o co chodzi z logowaniem. Kod pisałem z palca, więc mogą być małe błędy. W razie pytań czy wątpliwości, pisz na forum.

Pozdrawiam!

[robos85]

Zrobiłem takie pliki:
logowanie.html:

[HTML] pobierz, plaintext 
<html>
	<head>
		<title>Logowanie</title>
	</head>
	<body>
		<form method="post" action="sprawdz.php">
		  Login: <input type="text" name="login" />
		  Hasło: <input type="password" name="password" />
		  <input type="submit" value="zaloguj sie" />
		</form>
	</body>
</html>
[HTML] pobierz, plaintext 

sprawdz.php:

[PHP] pobierz, plaintext 
<?php
 
define('login', 'robert');
define('haslo', '123456');
 
 
// powyzej badz ponizej przed tym kodem moze byc umieszczony formularz ;)
// najpierw sprawdzamy, czy wysyłane zmienne w formularzu nie są puste.
if ( ! empty( $_POST['login'] ) && ! empty( $_POST['password'] ) )
{
	// jezeli nie dokonujemy sprawdzenia poprawnosci loginu i hasla
	if ( $_POST['login'] == login && $_POST['password'] == haslo )
	{
		// tworzymy zmienna sesyjna
		$_SESSION['zalogowany'] = '1';
	print("Zalogowany");
	}
	else
	{
		echo 'Podales zly login badz haslo!';
	}
}
else
{
	echo 'Wprowadz dane do formularza :)';
}
 
 
?>
[PHP] pobierz, plaintext 

plik.php

[PHP] pobierz, plaintext 
<?php
session_start();
 
if ( isset( $_SESSION['zalogowany'] ) )
{
 
	echo 'Wiadomosc dla zalogowanego uzytkownika';
}
 
?>
[PHP] pobierz, plaintext 

Wchodząc do pliku plik.php nic mi się nie wyświetla.
Może mi ktoś powiedzieć co tu nie tak zrobiłem?

[kwiateusz]

bezpośrednio do plik.php? to czego oczekujesz że zmienna w ifie z powietrza sie wyczaruje?

[robos85]

ok działa oto moje pliki:
logowanie.html pomijam,

sprawdz.php

[PHP] pobierz, plaintext 
<?php
 
define('login', 'robert');
define('haslo', '123456');
 
 
// powyzej badz ponizej przed tym kodem moze byc umieszczony formularz ;)
// najpierw sprawdzamy, czy wysyłane zmienne w formularzu nie są puste.
if ( ! empty( $_POST['login'] ) && ! empty( $_POST['password'] ) )
{
	// jezeli nie dokonujemy sprawdzenia poprawnosci loginu i hasla
	if ( $_POST['login'] == login && $_POST['password'] == haslo )
	{
		// tworzymy zmienna sesyjna
	session_start();
		$_SESSION['zalogowany'] = '1';
	//session_register('zalogowany');
	print("Zalogowany");
	print("<a href="plik.php">Klik</a>");
	}
	else
	{
		echo 'Podales zly login badz haslo!';
	}
}
else
{
	echo 'Wprowadz dane do formularza :)';
}
 
 
?>
[PHP] pobierz, plaintext 

plik.php

[PHP] pobierz, plaintext 
<?php
session_start();
//session_register('zalogowany');
if ( isset( $_SESSION['zalogowany'] ) )
{
 
	echo 'Wiadomosc dla zalogowanego uzytkownika';
	print("<a href="wyloguj.php">Klik</a>");
}
 
else
{
echo 'zaloguj się';
}	
?>
[PHP] pobierz, plaintext 

wyloguj.php

[PHP] pobierz, plaintext 
<?php
 
session_start();
session_destroy();
print("wylogowano");
 
?>
[PHP] pobierz, plaintext 

tylko teraz moje pytanie brzmi: jak przerobić plik sprawdz.php aby po udanym zalogowaniu przeiosło mnie do pliku index.html wiem że trzeba dodać header(...) ale w którym miejscu ?

[kwiateusz]

np. zamiast

[PHP] pobierz, plaintext 
<?php
print("Zalogowany");
	print("<a href="plik.php">Klik</a>");
?>
[PHP] pobierz, plaintext 

[robos85]

kurde rzeczywiście ;p
Ale to wynik tego że nie śpię 19h ponad i po treningu jestem.

to jeszcze tylko pytanko szybkie:

jeżeli jestem już zalogowany, jak mogę wyświetlić ID sesji??

Póki co to mi do szczęścia potrzeba

[kwiateusz]

wystarczy manula przejrzeć...
session_id" title="Zobacz w manualu PHP" target="_manual

[robos85]

zrobiłem taki plik:

wybór.html

[HTML] pobierz, plaintext 
<html>
<head>
<title>strona startowa</title>
</head>
<body>
<br>
<?
session_start();
 
if ( isset( $_SESSION['zalogowany'] ) )
   { ?>
	<font size="6" color="blak" face="times"><center><B>Wybierz zadanie:</center></font>
	<br>
	<center><table height="20%" width="20%" border="1">
	<tr><td align="center">
	<a href="obliczenia.html"> kalkulator</a></td></tr>
	<tr><td align="center">
	<a href="zapisz.html"> wysyłanie pliku </a></td></tr></table></center>
	</body>
	</html> <?
   }
else 
   {
	header("Location: wybor.html");
   }
?>
[HTML] pobierz, plaintext 

Chodzi mi o to, żeby był w .html i po wejściu w niego była sprawdzana sesja.
Lecz jak wchodzę zawsze się pokazuje menu. Pewnie plik jest powalony. Jak to przerobić na działający?
Do czego dążę: otóż jak sprawdzać sesję w plikach o rozsz: .html ten wybor.html to przykład, który nie wiem jak rozwiązać i liczę na waszą pomoc

Ten post edytował robos85 20.03.2007, 23:36:20

[Cienki1980]

Jeżeli chcesz korzystać z kodu PHP musisz umieszczać go w plikach *.php

[robos85]

yhm ok będę to robił, bo myślałem że jakoś da radę w *.html zrobić.

[kwiateusz]

da o ile możesz używać plików htaccess poszukaj na google co należałoby wpisać

bo ja akurat nie pamietam

[idas]

Yo!
Mam pytanie: przedstawione tutaj kody do logowania dzialaja ok. W momencie w ktorym uzytkownik sie zaloguje mamy zmienna sesyjna, ktora to informuje ze jest zalogowany. Wyobrazmy sobie ze do zmiennej sesyjnej przypisuje nazwe uzytkownika powiedzmy $login. Teraz mam zmienna sesyjna $_SESSION['login'] = $login; i na jej podstawie sprawdzam czy dany uzytkownik jest zalogowany.
Wyczytalem jeszcze, ze w wypadku uzywania sesji trzeba wklepywac na poczatku dokumentu linijke session_start();
Hmmm...moje pytanie jest takie:
W pliku logowanie.php mam skrypt ktory pobiera mi wpisana z klawiatury nazwe uzytkownika, haslo i sprawdza czy w bazie danych w tabeli UZYTKOWNICY jest w kolumnie login i haslo taka sama wartosc jak ta podana przez uzytkownika. Jesli ja znajdzie to utwozy ta zmienna sesyjna $_SESSION['login']=$login; JAK TA ZMIENNA PRZEKAZYWAC NA KOLEJNE PODSTRONY DO KTORYCH BEDE MIAL ODNOSNIKI? W URL raczej odpada bo to kazdy przeciez zobaczy
Dzieki

Ten post edytował idas 26.03.2007, 00:33:32

[strife]

Yo!
Mam pytanie: przedstawione tutaj kody do logowania dzialaja ok. W momencie w ktorym uzytkownik sie zaloguje mamy zmienna sesyjna, ktora to informuje ze jest zalogowany. Ale jak w takim wypadku rozroznic np. uzytkownika Jas od uzytkownika Adam? Bo z tego co widze to w momencie pomyslnego logowania jest tworzona jedna i ta sama zmienna...

Możesz rozróżnić tych użytkowników poprzez nadanie im odpowiednich ról. Czyli w bazie danych tworzysz sobie dwie tabele, w pierwszej masz użytkowników, a w drugiej maski dostępu ( podział na role ). Powiedzmy, że tabela użytkowników zawiera następujące pola

Kod

id | name | password | mask
1     Jaś       md5hash    1
2    Adam    md5hash    2

Natomiast tabela z maskami, będzie wyglądała w ten sposób:

Kod

id | name | has_admin |
1      admin     1
2       user      0

To chyba najprostrzy przykład jaki może być. No i wtedy, w momencie zalogowania dodajesz kolejną zmienną, która będzie odpowiadała za dostęp do panelu administracyjnego. $_SESSION['admin']. W ten sposób możesz rozróżnić użytkowników i przydzielać im odpowiednie role. Poszukaj na forum na ten temat już trochę o tym pisaliśmy.

[PHP] pobierz, plaintext 
<?php
$query = mysql_query("SELECT * FROM uzytkownicy WHERE `user` = '" . $_POST['user'] . "'  ");
$fetch = mysql_fetch_array($query);
if ( $fetch ) // jesli user zostanie znaleziony w bazie
{
  if ( md5( $_POST['pass'] ) == $fetch['haslo'] ) // jesli haslo sie zgadza
  {
	 echo 'logowanie zakonczone sukcesem';
	 $_SESSION['login'] = '1';
	 // dodawanie ról w momencie poprawnego zalogowania
	 $query = mysql_fetch_array( mysql_query("SELECT * FROM maski_dostepu WHERE id = " . $fetch['mask'] . " ") );
	 $_SESSION['has_admin'] = $query['has_admin'];
	 /**
	  * potem sprawdzac czy ktos ma gdzie dostep przykladowo czy Janek moze
	  * wejsc na strone x sprawdzasz tak 
	  * if ( ! empty( $_SESSION['has_admin'] ) )
	  * { 
	  * echo 'masz dostep';
	  * }
	  */
  }
  else
  {
	 echo 'Przykro mi, ale podane haslo jest bledne';
   }
}
else
{
   echo 'Podany uzytkownik nie istnieje w bazie danych';
}
?>
[PHP] pobierz, plaintext 

W prostrzy sposób możesz tych użytkowników rozróżnić, poprzez dodanie pola has_admin w tabeli z użytkownikami, ale takie rozwiązanie jest mało optymalne, bo musisz zmienić tą wartość wtedy u każdego użytkownika, a jak widzisz z podziałem na role zmieniasz to tylko w jednym rekordzie.

uff... mam nadzieję, że teraz już to rozumiesz. Idę spać.

~edit

JAK TA ZMIENNA PRZEKAZYWAC NA KOLEJNE PODSTRONY DO KTORYCH BEDE MIAL ODNOSNIKI?

Nie rozumiem, przecież gdy na początku każdej tej strony będziesz podawał session_start to ta zmienna będzie widoczna, więc nie ma sensu loginu inaczej tego przekazywać. Najlepiej będzie jak sam sobie to sprawdzisz.

Pozdrawiam!