Egy egyszerű PHP alapú felhasználó beléptetőrendszer file-jainak elemzése. Főleg magam részére, de publikusan, hátha másnak is hasznos lesz ez a leírás, esetleg ez alapján jobban megérti, hogyan is működik egy ilyen beléptető rendszer. Egyszerűsége végett könnyű megérteni a működését kezdő PHP-vel ismerkedők számára is.
1. /view/login-form.php<html>
<head>
<title>User Login</title>
<link href="./view/css/style.css" rel="stylesheet" type="text/css" />
</head>
<body>
<div>
<form action="login-action.php" method="post" id="frmLogin" onSubmit="return validate();">
<div class="demo-table">
<div class="form-head">Login</div>
<?php
if(isset($_SESSION["errorMessage"])) {
?>
<div class="error-message"><?php echo $_SESSION["errorMessage"]; ?></div>
<?php
unset($_SESSION["errorMessage"]);
}
?>
<div class="field-column">
<div>
<label for="username">Username</label><span id="user_info" class="error-info"></span>
</div>
<div>
<input name="user_name" id="user_name" type="text"
class="demo-input-box">
</div>
</div>
<div class="field-column">
<div>
<label for="password">Password</label><span id="password_info" class="error-info"></span>
</div>
<div>
<input name="password" id="password" type="password"
class="demo-input-box">
</div>
</div>
<div class=field-column>
<div>
<input type="submit" name="login" value="Login"
class="btnLogin"></span>
</div>
</div>
</div>
</form>
</div>
<script>
function validate() {
var $valid = true;
document.getElementById("user_info").innerHTML = "";
document.getElementById("password_info").innerHTML = "";
var userName = document.getElementById("user_name").value;
var password = document.getElementById("password").value;
if(userName == "")
{
document.getElementById("user_info").innerHTML = "required";
$valid = false;
}
if(password == "")
{
document.getElementById("password_info").innerHTML = "required";
$valid = false;
}
return $valid;
}
</script>
</body>
</html>
- HTML form. Ez a form van illesztve minden jelszó által védett lapra, ha az user nincs bejelentkezve, ezzel találkozik minden lapon.
- A következő adatokat küldi a login-action.php akció fájlnak POST metódussal: Username (user_name ID-vel), Password (password ID-vel)
- $_SESSION["errorMessage"]-ben hibaüzenetet fogad, amit a login-action.php küld vissza, ha az User/Password nem található az adatbázisban, vagy bármi egyéb panasza van. Majd unseteli azt, hogy a következő frissítésnél már ne legyen benne a sessionban az error message.
- onSubmit eseménynél egy Javascript kóddal ellenőrzést végez. Megakadályozza a form adatok nélküli elküldését.
- Ha minden rendben és az adatok nem üresek, akkor elküldésre kerülnek a login akció fájlnak, ami feldolgozza azokat.
2. /login-action.php
<?php
namespace Phppot;
use \Phppot\Member;
if (! empty($_POST["login"])) {
session_start();
$username = filter_var($_POST["user_name"], FILTER_SANITIZE_STRING);
$password = filter_var($_POST["password"], FILTER_SANITIZE_STRING);
require_once (__DIR__ . "/class/Member.php");
$member = new Member();
$isLoggedIn = $member->processLogin($username, $password);
if (! $isLoggedIn) {
$_SESSION["errorMessage"] = "Invalid Credentials";
}
if (!empty($_SERVER['HTTP_REFERER']))
header("Location: ".$_SERVER['HTTP_REFERER']);
else
header("Location: ./index.php");
exit();
}
- Ez is ellenőrzi, hogy megérkeztek e a szükséges adatok a belépéshez, ha nem, akkor nem teszt semmit. Fehér lapot ad vissza. Ez főleg akkor lehetséges, ha direktben megnyitjuk a login-action.php fájlt a böngészőben, ekkor értelemszerűen semmilyen adatot nem kap a formtól, így egy fehér lapot kapunk eredményül.
- Ha vannak adatok a login submit folyamatból, akkor elindítja a sessiont, felveszi POST metódusból kapott változókat a $username $password változókba
- Meghívja az egyszer és mindenképp szükséges fájlt a /class/Member.php-t, amiben a processLogin funkció található.
- Új Member osztály példányt kreál $member változóban.
- $isLoggedIn értéke a Member.php processLogin funkciójából kinyert $username, $password értéket kapja, ennek értéke IGAZ vagy HAMIS lesz. Ha hamis akkor "Invalid Credentials"; értéket veszi fel a $_SESSION["errorMessage"] globális változóba. Ha igaz, akkor ezt a lépést kihagyva visszaküld minket oda ahonnan jöttünk vagy az index oldalra. Ekkor már be vagyunk lépve és van értéke a $_SESSION["userId"] szuperglobális változónak a felhasználó ID számával, azaz a belépés megtörtént.
- Ha végzett, refer oldal létezése esetén visszaküld oda ahonnan jöttünk, ellenkező esetben az index oldalra. Ha hibával akkor újra a login form jelenik meg, ami kiadja a $_SESSION["errorMessage"] értéket is, amit unsetel, ahogy fent írtam, ha eredménnyel akkor megjeleníti a session létezése esetén megjeleníthető dolgokat. Pl hogy Hurrá, sikerrel beléptél $user.
3. /class/Memeber.php
<?php
namespace Phppot;
use \Phppot\DataSource;
class Member
{
private $dbConn;
private $ds;
function __construct()
{
require_once "DataSource.php";
$this->ds = new DataSource();
}
function getMemberById($memberId)
{
$query = "select * FROM registered_users WHERE id = ?";
$paramType = "i";
$paramArray = array($memberId);
$memberResult = $this->ds->select($query, $paramType, $paramArray);
return $memberResult;
}
public function processLogin($username, $password) {
$passwordHash = md5($password);
$query = "select * FROM registered_users WHERE user_name = ? AND password = ?";
$paramType = "ss";
$paramArray = array($username, $passwordHash);
$memberResult = $this->ds->select($query, $paramType, $paramArray);
if(!empty($memberResult)) {
$_SESSION["userId"] = $memberResult[0]["id"];
return true;
}
}
}
- Ebben a fájlban található a login-action.php-ben kért processLogin funkció, ami feldolgozza az akció fájl által küldött usernevet és jelszót.
- Alkalmazza a \Phppot\DataSource-t, követeli egyszer a DataSource.php fájlt, amiben az adatbázishoz való kapcsolódási információk és előkészített adatbázis lekérdezési funkciók is találhatók.
- Ha nem üresen jön vissza a select lekérése, akkor $memberResult megkapja azt az ID értéket, amit az User bejelentkezési neve alapján az adatbázisban megtalál és ezt egyenlővé teszi a $_SESSION["userId"] -vel és a funkció visszatérési értékét Treue-ra (azaz IGAZ-ra) állítja
- $this->ds->select($query, $paramType, $paramArray); kéri a DataSource.php-tól a select funkciót az adatokkal, így kapja meg az adatokat a $memberResult
4. /class/DataSource.php
<?php
namespace Phppot;
/**
* Generic datasource class for handling DB operations.
* Uses MySqli and PreparedStatements.
*
* @version 2.3
*/
class DataSource
{
// PHP 7.1.0 visibility modifiers are allowed for class constants.
// when using above 7.1.0, declare the below constants as private
const HOST = 'localhost'; // Change to your own DATA
const USERNAME = 'DB-USERAME'; // Change to your own DATA
const PASSWORD = 'YOUR-DB-PASS'; // Change to your own DATA
const DATABASENAME = 'YOUR-DB-NAME'; // Change to your own DATA
private $conn;
/**
* PHP implicitly takes care of cleanup for default connection types.
* So no need to worry about closing the connection.
*
* Singletons not required in PHP as there is no
* concept of shared memory.
* Every object lives only for a request.
*
* Keeping things simple and that works!
*/
function __construct()
{
$this->conn = $this->getConnection();
}
/**
* If connection object is needed use this method and get access to it.
* Otherwise, use the below methods for insert / update / etc.
*
* @return \mysqli
*/
public function getConnection()
{
$conn = new \mysqli(self::HOST, self::USERNAME, self::PASSWORD, self::DATABASENAME);
if (mysqli_connect_errno()) {
trigger_error("Problem with connecting to database.");
}
$conn->set_charset("utf8");
return $conn;
}
/**
* To get database results
* @param string $query
* @param string $paramType
* @param array $paramArray
* @return array
*/
public function select($query, $paramType="", $paramArray=array())
{
$stmt = $this->conn->prepare($query);
if(!empty($paramType) && !empty($paramArray)) {
$this->bindQueryParams($stmt, $paramType, $paramArray);
}
$stmt->execute();
$result = $stmt->get_result();
if ($result->num_rows > 0) {
while ($row = $result->fetch_assoc()) {
$resultset[] = $row;
}
}
if (! empty($resultset)) {
return $resultset;
}
}
/**
* To insert
* @param string $query
* @param string $paramType
* @param array $paramArray
* @return int
*/
public function insert($query, $paramType, $paramArray)
{
print $query;
$stmt = $this->conn->prepare($query);
$this->bindQueryParams($stmt, $paramType, $paramArray);
$stmt->execute();
$insertId = $stmt->insert_id;
return $insertId;
}
/**
* To execute query
* @param string $query
* @param string $paramType
* @param array $paramArray
*/
public function execute($query, $paramType="", $paramArray=array())
{
$stmt = $this->conn->prepare($query);
if(!empty($paramType) && !empty($paramArray)) {
$this->bindQueryParams($stmt, $paramType="", $paramArray=array());
}
$stmt->execute();
}
/**
* 1. Prepares parameter binding
* 2. Bind prameters to the sql statement
* @param string $stmt
* @param string $paramType
* @param array $paramArray
*/
public function bindQueryParams($stmt, $paramType, $paramArray=array())
{
$paramValueReference[] = & $paramType;
for ($i = 0; $i < count($paramArray); $i ++) {
$paramValueReference[] = & $paramArray[$i];
}
call_user_func_array(array(
$stmt,
'bind_param'
), $paramValueReference);
}
/**
* To get database results
* @param string $query
* @param string $paramType
* @param array $paramArray
* @return array
*/
public function numRows($query, $paramType="", $paramArray=array())
{
$stmt = $this->conn->prepare($query);
if(!empty($paramType) && !empty($paramArray)) {
$this->bindQueryParams($stmt, $paramType, $paramArray);
}
$stmt->execute();
$stmt->store_result();
$recordCount = $stmt->num_rows;
return $recordCount;
}
}
- Ez a fájl már további fájl meghívását nem követeli.
- Funkció az adatbázis kapcsolódásra, funkciók a select, insert SQL műveletekhez.
5. Index.php
<?php
session_start();
if(!empty($_SESSION["userId"])) {
require_once './view/dashboard.php';
} else {
require_once './view/login-form.php';
}
?>
Az Index lap egy egyszerű rövid példa a jelszóval védett lapok egyikére.
Ha nem üres $_SESSION["userId"] akkor a dashboardot hívja, ha nincs akkor a login formot.
Ezt el lehet játszani minden levédendő user protected lappal, így levédve a benne lévő tartalmat az illetéktelen felhasználók elől. Az User ID birtokában pedig különböző tartalmakat tudunk megjeleníteni a felhasználóknak.
Kommentben írjátok meg, hogy mennyire jó ez a megoldás, ez a folyamat az user beléptetésére, tudtok e jobbat, láttok e benne hibát stb... Köszönöm a figyelmet!
