Wie kann ich die Authentifizierung eines Benutzers in PHP / MySQL?

Also vor kurzem habe ich gelernt, wie man richtig fügen Sie einen Benutzernamen und ein Passwort zu einer Datenbank.
Meine Datenbank ist usersys, und die Tabelle speichern von Benutzerinformationen aufgerufen wird, enthalten. Die Tabelle hat zwei Spalten - Benutzername (primär), Passwort.

Anmeldeformular funktioniert Super, betritt der Benutzer die Eingabe in der Datenbank korrekt und auch überprüft, ob der Benutzername bereits in der Datenbank befindet oder nicht.

Mit dieser sagte, ich bin gefragt, wenn jemand könnte mir helfen, erstellen Sie ein login-Skript. So weit, dies ist, was ich habe:

$username = $_POST['username'];
$password = $_POST['password'];
$displayname = $_POST['username'];
$displayname = strtolower($displayname);
$displayname = ucfirst($displayname);           
echo "Your username: " . $displayname . "<br />";

mysql_connect("localhost", "root", "******") or die(mysql_error());
echo "Connected to MySQL<br />";

mysql_select_db("usersys") or die(mysql_error());
echo "Connected to Database <br />";

$lcusername = strtolower($username);
$esclcusername = mysql_real_escape_string($lcusername);
$escpassword = mysql_real_escape_string($password);

$result = mysql_query("SELECT * FROM userdb WHERE username='$esclcusername' AND     password='$escpassword'") or die(mysql_error());
$row = mysql_fetch_array( $result );
$validateUser = $row['username'];
$validatePass = $row['password'];

Den POST-Daten aus der vorherigen log-in-Seite. Ich möchte dieses script zum überprüfen der Tabelle (userdb) und suchen Sie die Zeile für den Benutzernamen, den der Benutzer eingegeben, von der bisherigen form und stellen Sie sicher, dass das eingegebene Kennwort entspricht dem Benutzernamen das Kennwort legen Sie in dieser Zeile, in der userdb-Tabelle.

Ich will auch irgendeine Art von Weg, um zu überprüfen, ob oder nicht, wenn der username existiert, um dem Benutzer mitzuteilen, dass der Benutzername eingegeben, die nicht existiert, wenn es nicht gefunden in der Tabelle.

  • Sie sollten re-benutzen Sie einen bestehenden authentication framework, Wann immer möglich, weil, wirklich, es ist Komplex. Zum Beispiel, nehmen Sie einen Blick an github.com/delight-im/PHP-Auth, die sowohl Rahmen-als-Agnostiker und Datenbank-agnostisch.
InformationsquelleAutor | 2009-03-26
  1. 12

    Dies ist keine direkte Antwort auf diese Frage, aber ein GUTER Mehrwert.
    Sie sollten die Verwendung von MYSQL SHA1-Funktion, um das Kennwort zu verschlüsseln, bevor die Speicherung in der Datenbank.

    $user = $_POST['userid'];
$pwd = $_POST['password'];
$insert_sql = "INSERT into USER(userid, password) VALUES($user, SHA1($pwd))";

$select_sql = "SELECT * FROM USER WHERE userid=$user AND password=SHA1($pwd))";
    • +1 für einen sehr wichtigen Punkt. Zwei Korrekturen allerdings: 1. Der code sollte mysql_escape_string/mysql_real_escape_string() zu vermeiden, wird umgangen, indem SQL-Injektionen. 2. Die Verwendung eines salt für den Hash-bevorzugt zu vermeiden, dass die Risse durch die rainbow-Tabellen. Siehe: tinyurl.com/jwb8o
    • Diese Antwort ist vor allem unsicher, weil es keine Anführungszeichen für das Passwort, auch wenn die wichtigste Frage zeigt die Verwendung der mysql-escape-Funktion, diese erlaubt noch für sql-Injektionen in form von $pwd = "1) OR ( 1 = 1 "
    InformationsquelleAutor TechTravelThink
  2. 7

    Können Sie sessions verwenden. Sitzungen sind Globale Variablen, wenn es gesetzt ist, bleiben mit dem der Benutzer, während er surft durch die site.

    Da Sie lernen, PHP, probieren Sie dieses tutorial auf der offiziellen website.

    Aber was würden Sie tun, in der Theorie ist wenn der Benutzername und das Kennwort übereinstimmen, setzen Sie eine session-variable

    $_SESSION["auth"] = true;
$_SESSION["user_id"] = $row["user_id"];

    Tun, und dann wird überprüft, ob der Benutzer authentifiziert ist.

    InformationsquelleAutor Ólafur Waage
  3. 3

    Einen Weg, es zu tun (DISCLAIMER: nicht unbedingt best-practice):

    $result = mysql_query("SELECT id FROM userdb WHERE username='$esclcusername' AND  password='$escpassword'") or die(mysql_error());
$row = mysql_fetch_array( $result );
$id = (int)$row['id'];
if($id > 0) {
    //log in the user
    session_start();
    $_SESSION['userId'] = $id;
    $_SESSION['username'] = $displayname;
}

    ... und auf Seiten, die eine Authentifizierung erfordern:

    session_start();
if(!isset($_SESSION['userId'])) {
    die('You need to be logged in!!!');
} else {
    echo 'Welcome ' . $_SESSION['username'];
}

    Lesen Sie mehr über PHP Sitzungen.

    InformationsquelleAutor karim79
  4. 2

    Ich mag beide $_SESSION und MYSQL Prüft bei jedem login POST. Dies sollte helfen, ein paar Dinge begonnen.

    $username = mysql_real_escape_string($_POST[username]);
$password = strip_tags($_POST[password]);
$password = sha1($password);

if(isset($username) && isset($password) && !empty($username) && !empty($password))
{
$sql = mysql_query("SELECT * FROM users_column WHERE username = '$username' AND password = '$password'");

//Check the number of users against database
//with the given criteria.  We're looking for 1 so 
//adding > 0 (greater than zero does the trick). 
$num_rows = mysql_num_rows($sql);
if($num_rows > 0){

//Lets grab and create a variable from the DB to register
//the user's session with.
$gid = mysql_query("SELECT * FROM users_column WHERE username = '$username' AND password = '$password'");
$row = mysql_fetch_assoc($gid);
$uid = $row[userid];

//This is where we register the session.
$_SESSION[valid_user] = $uid;

//Send the user to the member page.  The userid is what the 
//session include runs against.
header('Location: memberpage.php?userid='.$userid);
}

//If it doesn't check out -- throw an error.
else
{
echo 'Invalid Login Information';
}
}

    HINWEIS: Sie benötigen würden, um starten Sie die Seite Datei mit session_start() und erstellen Sie eine separate Sitzung zu Überprüfen sind Angabe mit session_start() und dann Ihre Progressionen z.B. if($_SESSION[valid_user] != $userid) etwas tun.

    InformationsquelleAutor Maki
  5. 0

    Sie könnten eine select-Anweisung zum abrufen von MySQL das Passwort für den angegebenen Benutzernamen. Wenn Sie ein leeres ResultSet, dann müssen Sie nicht den Benutzernamen in der Tabelle.

    Wenn Sie den Benutzer authentifiziert werden, die in mehr als einer php-Seite, dann eine Wahl sollte sein, die Verwendung von Sitzungen (http://www.php.net/manual/en/function.session-start.php).

    Auch, denke ich, sollten Sie sich Gedanken über die Sicherheit, d.h. die Verhinderung von SQL-injection:

    $variable = mysql_real_escape_string($_POST['variable'])

    und die Vermeidung von "sterben" (Behandlung von Fehlern und wiederkehrender Benutzer-freundliche Nachrichten aus dem Skript).

    InformationsquelleAutor Razvan Stefanescu
  6. 0

    Ich würde auch darüber nachdenken, nicht die Speicherung der Passwörter in Ihrer Datenbank. One-way-hashes, die mit MD5 oder SHA1 sind eine Möglichkeit, hinzufügen von eine Schicht von Sicherheit auf der db Ebene.

    Sehen http://php.net/md5 oder http://php.net/sha1 für weitere Informationen.

    InformationsquelleAutor Wayne
  7. 0

    Ich Stimme mit der Idee, wenn die Verwendung von SESSION-Variablen, während die Authentifizierung des Benutzers.

    Der einfache Weg, um den Benutzer zu authentifizieren ist wie folgt

    //connect the mysql_db
$mysql_connect()
$mysql_select_db() 

//reading from mysql table
$res="SELECT * FROM table WHERE name=$username AND password=$password";
$val=mysql_query($res);

//authentication
$count=mysql_num_rows($val);
if($count==1)
//authenticate the user
else
through an error
    • Diese Antwort ist vor allem unsicher, weil es keine Anführungszeichen für das Passwort, auch wenn die wichtigste Frage zeigt die Verwendung der mysql-escape-Funktion, diese erlaubt noch für sql-Injektionen in form von $password = "1OR1=1"
    InformationsquelleAutor Anand Raj
Schreibe einen Kommentar