簡単なログイン機能をつくる必要があり、
ちょっと調べてみた。
参考にしたのは下記のページ。
【初心者向け】PHP5とMySQLでつくるログイン機能のサンプルアプリケーション
まずデータベースの準備をする。
参考サイトのとおりid,name,passwordのカラムを作成して、
idはオートインクリメントにした。
また、重複したユーザーは登録できないほうが良いので
nameにはUNIQUE制約をつけた。
このデータベースにレコードを追加する画面の作成については
参考サイトに説明がなかったので、まずはそこからはじめる。
まずは入力フォームのHTML。
簡単にこんな感じ。add.htmlとした。
<html>
<meta charset="UTF-8">
<head>
<title>ログインユーザ追加用の入力画面</title>
</head>
<body>
<form action="insert.php" method="post">
<table>
<tr>
<td>NAME</td>
<td><input type="text" name="name"></td>
</tr>
<tr>
<td>PASSWORD</td>
<td><input type="text" name="password"></td>
</tr>
</table>
<input type="submit">
</form>
</body>
</html>
送信先はinsert.phpとする。
次はinsert.phpの作成。
一旦、下記のような感じで作成。
<html>
<meta charset="UTF-8">
<head>
<title>ログインユーザー追加ページ</title>
</head>
<body>
<?php
$link = mysql_connect('ホスト名', 'ユーザー名', 'パスワード');
if (!$link) {
die('接続失敗です。'.mysql_error());
}
$db_selected = mysql_select_db('データベース名', $link);
if (!$db_selected){
die('データベース選択失敗です。'.mysql_error());
}
mysql_set_charset('utf8');
$result = mysql_query('SELECT name,password FROM テーブル名');
if (!$result) {
die('SELECTクエリーが失敗しました。'.mysql_error());
}
$name = $_POST['name'];
$password = $_POST['password'];
$sql = "INSERT INTO テーブル名 (name, password) VALUES ('$name','$password')";
$result_flag = mysql_query($sql);
if (!$result_flag) {
die('INSERTクエリーが失敗しました。すでに同じNAMEが登録されている可能性があります。<br><a href="add.html">戻る</a>');
}
print('<p>' . $name . 'ユーザーを登録しました。</p>');
$close_flag = mysql_close($link);
?>
<a href="add.html">戻る</a>
</body>
</html>
これで先程のデータベースにレコードは追加できるが、
このままではパスワードが平文で登録されてしまうので改善する。
add.htmlからPOSTされたパスワードを受け取ったら
insert.phpでハッシュ化をしてからDBにinsertをするように変更。
まずpassword_compatというライブラリをダウンロードをして、
/lib/password.php を任意の場所にセット。
私はinsert.phpと同じ階層に置いた。
require ‘password.php’; で呼び出して、POSTで受け取った$passwordを
$hashpass = password_hash($password, PASSWORD_DEFAULT); という
かたちでハッシュ化して、その$hashpassをDBにinsertする。
<html>
<meta charset="UTF-8">
<head>
<title>ログインユーザー追加ページ</title>
</head>
<body>
<?php
require 'password.php';
$link = mysql_connect('ホスト名', 'ユーザー名', 'パスワード');
if (!$link) {
die('接続失敗です。'.mysql_error());
}
$db_selected = mysql_select_db('データベース名', $link);
if (!$db_selected){
die('データベース選択失敗です。'.mysql_error());
}
mysql_set_charset('utf8');
$result = mysql_query('SELECT name,password FROM テーブル名');
if (!$result) {
die('SELECTクエリーが失敗しました。'.mysql_error());
}
$name = $_POST['name'];
$password = $_POST['password'];
$hashpass = password_hash($password, PASSWORD_DEFAULT);
$sql = "INSERT INTO テーブル名 (name, password) VALUES ('$name','$hashpass')";
$result_flag = mysql_query($sql);
if (!$result_flag) {
die('INSERTクエリーが失敗しました。すでに同じNAMEが登録されている可能性があります。<br><a href="add.html">戻る</a>');
}
print('<p>' . $name . 'ユーザーを登録しました。</p>');
$close_flag = mysql_close($link);
?>
<a href="add.html">戻る</a>
</body>
</html>
これでログインユーザー情報の作成はOK。
一応同じ内容で作成をしたページへのリンクをサンプルとして下に貼っておく。
勝手にユーザーを追加して試してもらっても特に問題はない。
http://516.jp/login/add.html
追記:下で作成したlogin.phpへのリンクを追加した。
続いてログイン画面。
まずはlogin.php。
参考サイトのコードを丸ごとコピーして使ってみると
データベースの接続部分でエラーが出たので
$mysqli->select_db($db[‘dbname’]); の部分を
$mysqli->select_db(‘dbname’); に変更した。
あと、先程のユーザー情報登録ページへのリンクを貼った。
<a href="add.html">ユーザー情報登録ページへ</a>
<?php
require 'password.php';
// セッション開始
session_start();
// エラーメッセージの初期化
$errorMessage = "";
// ログインボタンが押された場合
if (isset($_POST["login"])) {
// 1.ユーザIDの入力チェック
if (empty($_POST["userid"])) {
$errorMessage = "ユーザIDが未入力です。";
} else if (empty($_POST["password"])) {
$errorMessage = "パスワードが未入力です。";
}
// 2.ユーザIDとパスワードが入力されていたら認証する
if (!empty($_POST["userid"]) && !empty($_POST["password"])) {
// mysqlへの接続
$mysqli = new mysqli('ホスト名', 'ユーザー名', 'パスワード');
if ($mysqli->connect_errno) {
print('<p>データベースへの接続に失敗しました。</p>' . $mysqli->connect_error);
exit();
}
// データベースの選択
$mysqli->select_db('データベース名');
// 入力値のサニタイズ
$userid = $mysqli->real_escape_string($_POST["userid"]);
// クエリの実行
$query = "SELECT * FROM テーブル名 WHERE name = '" . $userid . "'";
$result = $mysqli->query($query);
if (!$result) {
print('クエリーが失敗しました。' . $mysqli->error);
$mysqli->close();
exit();
}
while ($row = $result->fetch_assoc()) {
// パスワード(暗号化済み)の取り出し
$db_hashed_pwd = $row['password'];
}
// データベースの切断
$mysqli->close();
// 3.画面から入力されたパスワードとデータベースから取得したパスワードのハッシュを比較します。
//if ($_POST["password"] == $pw) {
if (password_verify($_POST["password"], $db_hashed_pwd)) {
// 4.認証成功なら、セッションIDを新規に発行する
session_regenerate_id(true);
$_SESSION["USERID"] = $_POST["userid"];
header("Location: main.php");
exit;
}
else {
// 認証失敗
$errorMessage = "ユーザIDあるいはパスワードに誤りがあります。";
}
} else {
// 未入力なら何もしない
}
}
?>
<!doctype html>
<html>
<head>
<meta charset="UTF-8">
<title>サンプルアプリケーション</title>
</head>
<body>
<h1>ログイン機能 サンプルアプリケーション</h1>
<!-- $_SERVER['PHP_SELF']はXSSの危険性があるので、actionは空にしておく -->
<!--<form id="loginForm" name="loginForm" action="<?php print($_SERVER['PHP_SELF']) ?>" method="POST">-->
<form id="loginForm" name="loginForm" action="" method="POST">
<fieldset>
<legend>ログインフォーム</legend>
<div><?php echo $errorMessage ?></div>
<label for="userid">ユーザID</label><input type="text" id="userid" name="userid" value="<?php echo htmlspecialchars($_POST["userid"], ENT_QUOTES); ?>">
<br>
<label for="password">パスワード</label><input type="password" id="password" name="password" value="">
<br>
<input type="submit" id="login" name="login" value="ログイン">
</fieldset>
</form>
<a href="add.html">ユーザー情報登録ページへ</a>
</body>
</html>
続いてmain.php
<?php
session_start();
// ログイン状態のチェック
if (!isset($_SESSION["USERID"])) {
header("Location: logout.php");
exit;
}
?>
<!doctype html>
<html>
<head>
<meta charset="UTF-8">
<title>サンプルアプリケーション</title>
</head>
<body>
<h1>ログイン機能 サンプルアプリケーション</h1>
<!-- ユーザIDにHTMLタグが含まれても良いようにエスケープする -->
<p>ようこそ<?=htmlspecialchars($_SESSION["USERID"], ENT_QUOTES); ?>さん</p>
<ul>
<li><a href="logout.php">ログアウト</a></li>
</ul>
</body>
</html>
最後にlogout.php。
<?php
session_start();
if (isset($_SESSION["USERID"])) {
$errorMessage = "ログアウトしました。";
}
else {
$errorMessage = "セッションがタイムアウトしました。";
}
// セッション変数のクリア
$_SESSION = array();
// クッキーの破棄は不要
//if (ini_get("session.use_cookies")) {
// $params = session_get_cookie_params();
// setcookie(session_name(), '', time() - 42000,
// $params["path"], $params["domain"],
// $params["secure"], $params["httponly"]
// );
//}
// セッションクリア
@session_destroy();
?>
<!doctype html>
<html>
<head>
<meta charset="UTF-8">
<title>サンプルアプリケーション</title>
</head>
<body>
<h1>ログイン機能 サンプルアプリケーション</h1>
<div><?php echo $errorMessage; ?></div>
<ul>
<li><a href="login.php">ログイン画面に戻る</a></li>
</ul>
</body>
</html>
特に問題なく動いた。
作成したページのURLは下記。
コピーしてきたコードの意味はあまり理解してないが、
とりあえずメモ書きだけ残しておく。
(後日追記)
NAMEが全角文字でも登録ができてしまうためにエラーが出てしまう事に気が付いた。
なので下のコードを追加した。
if (!ctype_alnum($name)){
echo 'NAMEは半角英数字で入力してください<br><a href="add.html">戻る</a>';
exit;
}