Как сделать проверку пароля в php

Добавил пользователь Валентин П.
Обновлено: 04.10.2024

Система регистрации и авторизации необходима для любого сайта, который хранит информацию о своих пользователях. Такие системы используются на сайтах самой разнообразной тематики – от образовательных платформ, которые хранят сведения о прохождении обучающих курсов и оценках, до онлайн-магазинов, которые сохраняют историю покупок и адреса пользователей. В этом руководстве мы научим вас создавать формы регистрации и авторизации с нуля.

Разработка форм регистрации и авторизации

Код регистрационной формы

Ниже приведен HTML-код необходимый для создания формы регистрации. Сохраните его вфайле register.php.

Исходный код страницы авторизации

HTML-код страницы входа в систему приведен ниже. Сохраните его в файле login.php .

CSS-стили для оформления форм

Для улучшения внешнего вида форм примените к ним следующие CSS-стили:

Создание таблицы с учетными данными и подключение к базе данных

Следующий шаг – создание таблицы базы данных, содержащей учетные данные пользователей. В нашем случае таблица состоит всего из четырех столбцов:

1. Порядковый номер ID, который для каждого нового пользователя увеличивается автоматически.
2. Уникальное имя пользователя.
3. Адрес электронной почты.
4. Пароль.

Для быстрого создания таблицы базы данных можно использовать следующий SQL-запрос:

Теперь создайте файл config.php и сохраните в нем приведенный далее код для подключения к базе данных:

В приведенном выше коде замените название базы данных на то, которое вы используете для своего собственного сайта.

Исходный код для регистрации пользователей

Сохраните приведенный далее код в начале файла registration.php :

На первом этапе выполнения кода включается config.php, начинается сессия. Так мы получаем возможность сохранить любую информацию для дальнейшего использования на всех страницах сайта.

Функция авторизации

На предыдущем этапе мы уже сохранили код для формы авторизации пользователей в системе. На этом этапе мы будем проверять, соответствуют ли введенные пользователем данные учетной записи, сохраненной в базе.

Приведенный далее код должен располагаться в начале файла login.php:

Важно отметить, что мы не проверяем правильность имени и пароля одновременно. Поскольку пароль сохранен в хэшированном виде, сначала необходимо запросить хэш с помощью предоставленного имени пользователя. Когда мы получим хэш, можно будет проверить предоставленный пользователем пароль на соответствие хэшированному – с помощью функции password_verify().

Как только мы получаем подтверждение правильности пароля, мы назначаем переменную $_SESSION[‘user_id’] для ID пользователя из базы данных. При необходимости на этом этапе передаются и значения для других переменных.

Ограничение доступа к страницам

Все, что нужно сделать для ограничения или предоставления доступа – это использовать в начале приведенного выше скрипта строку session_start().

Типичные ошибки и способы их решения

При использовании скрипта для ограничения доступа неавторизованных пользователей обычно возникают три типа ошибок.

Некорректное имя переменной

Чаще всего ошибки в работе скрипта связаны с неверными именами переменных – как правило, с использованием букв в неправильном регистре. Именно поэтому крайне важно придерживаться одного и того же шаблона при выборе имен. К примеру, ключи в функции $_POST основаны на значениях, полученных из полей ввода в формах. Это означает, что $_POST[‘USERNAME’] и $_POST[‘username’] получат разные значения.

Переменные сессии не сохраняются при переходах между страницами

Пожалуйста, опубликуйте ваши комментарии по текущей теме статьи. За комментарии, подписки, дизлайки, отклики, лайки огромное вам спасибо!

Чтобы создать проверку пользователя во всплывающем окне достаточно следующего кода:

Тем не менее, желательно добавить немного функционала:

Работать такой код будет довольно убого - если ввести пароль неверно не будет второй попытки. Придётся закрывать вкладку, идти в историю браузера и удалять там соответствующие данные.

В Firefox это Library → History → Clear Recent History → Active Logins

В Chrome это Passwords and other sing-in data (в Clear browsing data → Advanced)

В Safari это Clear History

Если пароль поменялся, пользователя со старым паролем не выкинет и т.д.

Примечание о совместимости

Очистить глобальные переменные

Очистить значения переменных $_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW'] можно с помощью функции unset()

Дайджест-аутентификация доступа — один из общепринятых методов, используемых веб-сервером для обработки учетных данных пользователя веб-браузера.

Аналогичный метод используется в рамках VoIP-протокола SIP для аутентификации сервером обращения со стороны клиента, т.е. оконечного терминала.

Данный метод отправляет по сети хеш-сумму логина, пароля, адреса сервера и случайных данных, и предоставляет больший уровень защиты, чем базовая аутентификация, при которой данные отправляются в открытом виде.

Можно использовать следующие опции ( полный список в RFC )

domain - домен

Необязательный список URI (через пробел), которые защищены данным запросом на аутентификацию.

algorithm

Указывает на алгоритм, используемый для создания дайджеста.

opaque

base64 или HEX строка которую генерирует сервер. Клиент должен вернуть opaque неизменённым.

nonce - Уникальное HEX число или base64 число, которое сервер генерирует вместе с каждый 401 запросом.

nonce должен быть в одинарных кавычках (не в двойных)

nonce-count - HEX число, содержащее количество запросов, которые клиент отправил с nonce в запросе.

stale

От английского stale - устаревший.

Флаг, который показывает на то, что предыдущий запрос от клиента был отклонён из за того, что значение nonce было несвежим.

Сервер должен ставить флаг stale в TRUE (регистронечувствительный) если пароль и имя пользователя верные и только nonce устарел.

Если сервер отказал в соединении а stale поставлен в FALSE, либо любое значение кроме TRUE, либо вообще отсутствует, значит клиент должен запросить логин и пароль снова.

qop - Quality of Protection

Опция для HTTP Digest Authentication. Может принимать значения "auth" или "auth-int". Влияет на то как создается хэш.

Если поставить в "auth" будет использоваться только запрошенный URI. Если в "auth-int" то также будет использовано тело запроса.

cnonce - Уникальный id сгенерированный клиентом. Это число помогает клиенту и серверу подтвердить, что у них есть известный общий секрет. Необходимо когда сервер отправляет qop. Не должно посылаться если сервер не использовал qop директиву.

Обзор Digest Аутентификации

1. Клиент шлёт GET на сервер.

WWW-Authenticate: Digest realm="AndreiR",
qop="auth,auth-int",
nonce="abcdefg…",
opaque="abcd…",

Пользователь вводит свои учётные данные

HA1 = MD5 хэш из имени пользователя, пароля и строки realm.

HA2 = MD5 хэш из метода аутентификации и запрошенного URI

Response = MD5 хэш из HA1, HA2, nonce, nonce-count, cnonce и qop

GET /
Authorization: Digest username="andrei", realm="AndreiR", uri="/"
qop=auth, nc=00000001,response="12345abc…"
nonce="abcdefg…",
opaque="abcd…",

Некоторые опции необязательны, поэтому гарантировать определённый уровень безопасности нельзя.

Невозможно использовать более сложные алгоритмы хэширования паролей, такие как bcrypt

Form Based Аутентификации

Ну что же, сегодня я вам расскажу о безопасной авторизации на PHP и Cookie. Ну о том что она абсолютна безопасна я не говорю, ибо взломать можно все, но для маленького сайта она вполне подходит. Так же я предвижу комментарии о том что сессии безопаснее. Не спорю куки уступают сессиям в безопасности но для реализации простенькой авторизации вполне подходят. Подробности ниже.

И так, в базе у нас будет 1 база из 4 полей: users_id, users_login, users_password и users_hash. SQL запрос:

CREATE TABLE IF NOT EXISTS `users` (
`users_id` INT ( 11 ) UNSIGNED NOT NULL AUTO_INCREMENT ,
`users_login` VARCHAR ( 30 ) NOT NULL ,
`users_password` VARCHAR ( 32 ) NOT NULL ,
`users_hash` VARCHAR ( 32 ) NOT NULL ,
PRIMARY KEY ( `users_id` )
) ENGINE = MyISAM DEFAULT CHARSET = utf8 AUTO_INCREMENT = 1 ;

Сам скрипт авторизации будет тоже на 4 файлах. А именно:

Давайте разберем каждый файл.

conf.php

В константах содержится данные SQL подключения, а именно хост, логин, пароль и имя вашей базы. Тут же мы подключаемся к базе, устанавливаем кодировку в которой будут передаваться данные в бд и выбираем бд с которой будем работать. Так же тут содержится массив ошибок которые могут возникнуть при авторизации.

register.php

if ( isset ( $_POST [ 'submit' ] ) )

if ( strlen ( $_POST [ 'login' ] ) 3 or strlen ( $_POST [ 'login' ] ) > 30 )
<
$err [ ] = "Логин должен быть не меньше 3-х символов и не больше 30" ;
>

$login = $_POST [ 'login' ] ;

mysql_query ( "INSERT INTO users SET users_login='" . $login . "', users_password='" . $password . "'" ) ;
header ( "Location: login.php" ) ; exit ( ) ;
>
>
?>

if ( isset ( $err ) ) <
print "При регистрации произошли следующие ошибки:
" ;
foreach ( $err AS $error )
<
print $error . "
" ;
>
>
?>

login.php

Опять кратко расскажу о действиях совершаемых в данном скрипте. В самом начале у нас висит функция для генерации случайной строки, она служит для хеша пользователя (чуть позже более подробно). Далее мы проверяем наличие куков с ошибками (они ставятся в check.php). Подключаем файл конфигурации и проверяем пользователя. Вытаскиваем из бд логин и пароль, сравниваем с введенными и генерируем хеш. Записываем в бд новый хеш пользователя и ставим куки. В куках находится id и хеш пользователя. Пересылаем пользователя на check.php.

if ( isset ( $_POST [ 'submit' ] ) )

' . $error [ $errors ] . '

check.php

И последний файл, который содержит проверку авторизации пользователя. В начале подключаем конфиг и если существуют куки начинаем проверку, если их нет, то ставим куки с номером ошибки и отсылаем на login.php. И так проверка. Вытаскиваем из бд id и хеш. Если они не проходят проверку на соответствие с теми куками которые стоят у посетителя, то удаляем существующие куки посетителя и ставим куки с номером ошибки, пересылаем на login.php. Если же все нормально то пользователь увидит страницу.

Частная коллекция качественных материалов для тех, кто делает сайты

В этом разделе помещены уроки по PHP скриптам, которые Вы сможете использовать на своих ресурсах.

Фильтрация данных с помощью zend-filter

Когда речь идёт о безопасности веб-сайта, то фраза "фильтруйте всё, экранируйте всё" всегда будет актуальна. Сегодня поговорим о фильтрации данных.

Контекстное экранирование с помощью zend-escaper

Обеспечение безопасности веб-сайта — это не только защита от SQL инъекций, но и протекция от межсайтового скриптинга (XSS), межсайтовой подделки запросов (CSRF) и от других видов атак. В частности, вам нужно очень осторожно подходить к формированию HTML, CSS и JavaScript кода.

Подключение Zend модулей к Expressive

Expressive 2 поддерживает возможность подключения других ZF компонент по специальной схеме. Не всем нравится данное решение. В этой статье мы расскажем как улучшили процесс подключение нескольких модулей.

Совет: отправка информации в Google Analytics через API

Подборка PHP песочниц

Подборка из нескольких видов PHP песочниц. На некоторых вы в режиме online сможете потестить свой код, но есть так же решения, которые можно внедрить на свой сайт.

Совет: активация отображения всех ошибок в PHP

Агент

PHP парсер юзер агента с поддержкой Laravel, работающий на базе библиотеки Mobile Detect.

Читайте также:

  
• Как сделать сюлс
  
• Как сделать кодировку utf 8 в html
  
• Как сделать рыбные рафаэлки
  
• Как сделать кормушку для косули в лесу
  
• Как сделать иерархию в проджекте