Logowanie [PHP]

pytanie zadane 3 grudnia 2019 w PHP przez Rafał Masny Obywatel (1,700 p.)

Witam.

Zrobiłem stronę rejestracji, przy użyciu PHP. Tj. login, haslo, jakies dane, po wcisnieciu na przycisk, który jest na stronie, dane dodane są do bazy danych (phpMyAdmin).

Teraz musze zrobic logowanie, tj. wpisze login i haslo - dostaje komunikat, ze logowanie pomyslne lub, że nie istnieje taki uzytkownik. Dane oczywiscie pobiera z bazy. Powie ktos jak mam takie cos wykonac? Albo nakieruje?

Naturalnie wyslalbym kod, ktory napisalem, ale nie mam przy sobie kompa, na ktorym pracowalem.

2 odpowiedzi

odpowiedź 3 grudnia 2019 przez michal_php Stary wyjadacz (13,700 p.)

Na początek to jakiś formularz gdzie można wpisać dane. Formularz logowania i rejestracji. A następnie dane z formularzy wysyłasz na Backend. Podajesz je sanityzacji aby zabezpieczyć bazę przed sql injection. Następne robisz walidacja to w przypadku rejestracji. A na koniec sprawdzasz czy istnieje dany rekord w bazie. Chodzi, że ktoś loguje sie i poda zły login więc najpierw sprawdzasz czy taki login istniej w bazie jeśli istnieje sprawdzasz czy jest taki sam jak ten pobrany. A następnie haszujesz hasło pobrane z formularz logowania i sprawdzasz czy pasuje do tego co jest w bazie. Jeśli pasuje jesteśmy zalogowani jeśli nie to jeszcze raz. To tak w skrócie jak wygląda logika logowania.

1	komentarz 3 grudnia 2019 przez Ehlert Ekspert (212,670 p.) Podajesz je sanityzacji aby zabezpieczyć bazę przed sql injection Przed sqli zabezpiecza prepared statements oraz parameterized queries.

odpowiedź 3 grudnia 2019 przez dawid6512 Gaduła (4,550 p.)

no to tak

$result = 'SELECT id,login,password FROM users WHERE login = $login';
        if(!empty($result["id"])){
            if($password != $result['password'])
                die('Niepoprawne hasło');
            else
                die('Zalogowano');
        }else{
            die('Taki user nie istnieje');
        }

Oczywiscie nie jest to kod gotowy - musisz:

1. Wykonać zapytanie (najlepiej PDO, ew. mysqli) tez ujdzie
2. Zapytanie musisz wykonać z Fetch() - nie FetchAll() - tak to wyglada w PDO (w mysqli sobie musisz sam poszukac)
3. Do zmiennej result wsadzasz wynik zapytania.

Oczywiście brakuje tu logiki sprawdzania hashu i ogolnie uznaj to jako szkielet który trzeba dopracować i zabezpieczyć.