Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Rodrigo Ferreira Santos

Ajuda com controle de acesso por autenticaçao

Por , em PHP

Recommended Posts

Rodrigo Ferreira Santos    3

Rodrigo Ferreira Santos
Postado

Ola amigos , estou começando no php e por esse dias fiz uma sistema bem simples para um determinado controle interno da empresa mas agora preciso restringir o acesso a ele por autenticação , e andei lendo alguns tutoriais e ate modelos mas nao estou conseguindo fazer corretamente , li também que uma boa pratica e mudar os dados da sessão mas não tenho ideia de por onde começar , por hora alguem poderia me indicar um modelo simples, um tutorial ou modelo eu testei um da dev midia mas nao fuciona, assim com um modelo que alguem ja tenha usado para eu poder começar e depois eu ir postando aqui as duvidas , conto com a ajuda de voce obrigado !

Compartilhar este post

Link para o post
Compartilhar em outros sites

Rodrigo Ferreira Santos    3

Rodrigo Ferreira Santos
Postado

Senhores eu estou seguindo um tutorial da devmedia da seguinte forma :

 

Arquivo de conexao com a base e configuraçao  

 

Arquivo de login login.php: 

<div class="space-6"></div>
	<div class="position-relative">
			<div id="login-box" class="login-box visible widget-box no-border">
				<div class="widget-body">
					<div class="widget-main">
					<h4 class="header blue lighter bigger">
					<i class="ace-icon fa fa-coffee green"></i>
					Por favor digite seus dados!
					</h4>
						<div class="space-6"></div>
							<form action="login_valida.php" method="post">
							<fieldset>
							<label class="block clearfix">
							<span class="block input-icon input-icon-right">
							<input type="text" class="form-control" name="login" placeholder="Usuário" />
							<i class="ace-icon fa fa-user"></i>
							</span>
							</label>
								<label class="block clearfix">
									<span class="block input-icon input-icon-right">
									<input type="password" class="form-control" name="password" placeholder="Senha" />
									<i class="ace-icon fa fa-lock"></i>
									</span>
								</label>
							<div class="space"></div>
								<div class="clearfix">
									<label class="inline">
									<input type="checkbox" class="ace" />
									<span class="lbl"> Lembrar</span>
									</label>
                                     <button type="submit" class="width-35 pull-right btn btn-sm btn-primary">
										<i class="ace-icon fa fa-key"></i>
										<span class="bigger-110">Entrar</span>
									 </button>
								</div>
								<div class="space-4"></div>
							</fieldset>
                      </form>

login_valida.php no arquivo de autenticação esta assim : 

<?php 
// Conexão com o banco de dados 
require "comum.php"; 

// Inicia sessões 
session_start(); 

// Recupera o login 
$login = isset($_POST["login"]) ? addslashes(trim($_POST["login"])) : FALSE; 
// Recupera a senha, a criptografando em MD5 
$senha = isset($_POST["senha"]) ? md5(trim($_POST["senha"])) : FALSE; 

// Usuário não forneceu a senha ou o login 
if(!$login || !$senha) 
{ 
echo "Você deve digitar sua senha e login!"; 
exit; 
} 

/** 
* Executa a consulta no banco de dados. 
* Caso o número de linhas retornadas seja 1 o login é válido, 
* caso 0, inválido. 
*/ 
$SQL = "SELECT id, nome, login, senha, postar 
FROM aut_usuarios 
WHERE login = "" . $login . """; 
$result_id = @mysql_query($SQL) or die("Erro no banco de dados!"); 
$total = @mysql_num_rows($result_id); 

// Caso o usuário tenha digitado um login válido o número de linhas será 1.. 
if($total) 
{ 
// Obtém os dados do usuário, para poder verificar a senha e passar os demais dados para a sessão 
$dados = @mysql_fetch_array($result_id); 

// Agora verifica a senha 
if(!strcmp($senha, $dados["senha"])) 
{ 
// TUDO OK! Agora, passa os dados para a sessão e redireciona o usuário 
$_SESSION["id_usuario"]= $dados["id"]; 
$_SESSION["nome_usuario"] = stripslashes($dados["nome"]); 
$_SESSION["permissao"]= $dados["postar"]; 
header("Location: index.php"); 
exit; 
} 
// Senha inválida 
else 
{ 
echo "Senha inválida!"; 
exit; 
} 
} 
// Login inválido 
else 
{ 
echo "O login fornecido por você é inexistente!"; 
exit; 
} 
?>

e esse e o script que verifica se tem uma sessao aberta para cada usuario : 

<?php 
// Inicia sessões 
session_start(); 

// Verifica se existe os dados da sessão de login 
if(!isset($_SESSION["id_usuario"]) || !isset($_SESSION["nome_usuario"])) 
{ 
// Usuário não logado! Redireciona para a página de login 
header("Location: login.html"); 
exit; 
} 
?>

 

Preciso da ajuda de vocês nas seguintes duvidas e caso nao tenha como explicar aqui pode mandar somente um tutorial ou matéria da internet que eu leio.

Primeira eu queria colocar a autenticação e a validação em um so aquivo,  eu li que e feito com um action mas não tenho ideia de como fazer , outra coisa e eu queria mudar o nome da sessão para aumentar a segurança, colocar um limite de tempo também !

Compartilhar este post

Link para o post
Compartilhar em outros sites

Gabriel Heming    766

Gabriel Heming
Postado

 

Vamos à alguns pontos.

 

Autenticação

 

MD5 foi amplamente divulgado como hash criptográfico para autenticação, mas não é nem um pouco seguro. Existe o post abaixo que pode tirar todas as suas dúvidas:

Tempo de sessão

 

Você pode fazer de duas formas. Configurando o PHP/Apache ou criando um script para isso. Em meu anos de experiência, a segunda opção foi sempre a mais viável e assertiva.

 

No link abaixo há ambas.

https://stackoverflow.com/a/8311400/1628790

 

Separação ou um arquivo só

 

Em 05/04/2018 at 09:08, Rodrigo Ferreira Santos disse:

[...]eu queria colocar a autenticação e a validação em um so aquivo,  eu li que e feito com um action mas não tenho ideia de como fazer[...]

 

 

Actions é um método do controller que é acionado/chamado através de uma requisição. Ou seja, o usuário acessa uma URL (link, botão, escreveu na barra de endereços, etc..), um front controller (uma classe, ou conjunto de classes que interpreta requisições) receberá a requisição e enviará para o método correto de algum controller. Esse método é o action.

 

No seu caso, eu verifiquei que é um arquivo para realizar a autenticação e outro para verificar se o usuário está logado. Se não for usar orientação à objetos, do jeito que está fica mais interessante.

 

Funções MySQL

Funções MySQL foram descontinuadas no PHP 5.5 e removidas no PHP 7. Utilize MySQLi ou PDO:

http://rberaldo.com.br/como-atualizar-php-mysql-mysqli/

http://rberaldo.com.br/pdo-mysql/

 

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • eduardodsilvaq
      Problema com request wp_ajax
      Por eduardodsilvaq
      Erro retornado no console do navegador: 400 bad request
      Rastreei o erro ate essa parte no arquivo admin-ajax.php mudando o valor de resposta de 0 para 1:
      if ( is_user_logged_in() ) { // If no action is registered, return a Bad Request response. if ( ! has_action( "wp_ajax_{$action}" ) ) { wp_die( '0', 400 ); } Tentei de tudo, mas infelizmente nao entendi oq realmente significa esse login e como ele funciona.
      Vi algumas pessoas tendo problema com o host, no meu caso estou usando hostinger. (Nao creio que isso e relevante mas ta ai.)
       
      Código utilizado:
       
      Javascript
      function formValidation() { event.preventDefault(); var name = document.forms["contactForm"]["name"].value; var email = document.forms["contactForm"]["email"].value; var subject = document.forms["contactForm"]["subject"].value; var message = document.forms["contactForm"]["message"].value; document.getElementById('status').innerHTML = ''; var errorMessage="<span class='error'>All fields are required.</span>"; var regEx = /^([A-Za-z0-9_\-\.])+\@([A-Za-z0-9_\-\.])+\.([A-Za-z]{2,4})$/; if (name.trim() == "" ||email.trim() == "" || subject.trim() == "" || message.trim() == "") { document.getElementById('status').innerHTML = errorMessage; return false; } if (!regEx.test(email)) { var errorMessage="<span class='error'>Invalid email.</span>"; document.getElementById('status').innerHTML = errorMessage; return false; } processContactSubmit(); return true; } function processContactSubmit() { var request = new XMLHttpRequest(); request.open("POST", "/wp-admin/admin-ajax.php?action=process_contact_form"); request.onreadystatechange = function() { if(this.readyState === 4 && this.status === 200) { document.getElementById("status").innerHTML = this.responseText; } }; var myForm = document.getElementById("contactForm"); var formData = new FormData(contactForm); request.send(formData); } functions.php
      add_action('wp_ajax_nopriv_process_contact_form', 'process_contact_form'); add_action('wp_ajax_process_contact_form', 'process_contact_form'); //Retirar essa parte para error no console, no contrario ira aparecer no navegador o numero 0. function process_contact_form() { $to = "Recipient Email Address"; $subject = $_POST["subject"]; $headers = "Testing"; $message = $_POST["message"]; $attachments = ""; $sent = wp_mail($to, $subject, $message, $headers, $attachments); if (! $sent) { echo "<span class='error'>Problem in sending mail.</span>"; } else { echo "<span class='success'>Hi, thank you for the message.</span>"; } wp_die(); } Html
      <form name="contactForm" id="contactForm" method="post" onsubmit="return formValidation()" action=""> <p class="comment-form-comment"><textarea id="message" name="message" required="" placeholder="" aria-required="true"></textarea></p> <p class="comment-form-author"><label for="author">Nome: </label> <input id="name" name="name" required="" size="30" type="text" value=" " /></p> <p class="comment-form-author about"><label for="author">Assunto: </label> <input id="subject" name="subject" required="" size="40" type="text" value=" " /></p> <p class="comment-form-email"><label for="email">Email: </label> <input id="email" name="email" required="" size="30" type="text" value="" /></p> <p class="form-submit"><input id="submit" class="submit" name="email_contato" type="submit" value="Enviar" /></p> </form>&nbsp; <h3><div id="status"></div></h3>  
    • belann
      Logando no wordpress
      Por belann
      Olá!
       
      Eu tentar logar no wordpress que instalei em minha máquina usando localhost e logando com wp-login.php, está dando uma mensagem que o banco de dados não pode ser acessado.
      Estou usando o xampp. O que pode estar errado.
    • acdestefani
      Sistema de Login PDO
      Por acdestefani
      Olá pessoal!
      Peguei alguns códigos na internet para para estudar um pouco e aproveitei para desenvolver um sisteminha simples aqui onde eu trabalho. Consegui desenvolvê-lo usando esse arquivo de conexão:
      <?php /************************************************************************************************************* * @author William F. Leite * * Data: 20/06/2014 * * Descrição: Classe elaborada com o objetivo de auxlilar nas operações CRUDs em diversos SGBDS, possui * * funcionalidades para construir instruções de INSERT, UPDATE E DELETE onde as mesmas podem ser executadas * * nos principais SGBDs, exemplo SQL Server, MySQL e Firebird. Instruções SELECT são recebidas integralmente * * via parâmetro. * *************************************************************************************************************/ /* * Constantes de parâmetros para configuração da conexão */ define('SGBD', 'mysql'); define('HOST', 'localhost'); define('DBNAME', 'contratos_rh'); define('CHARSET', 'utf8'); define('USER', 'tonhao'); define('PASSWORD', '100375'); define('SERVER', 'linux'); class conexao { /* * Atributo estático de conexão */ private static $pdo; /* * Escondendo o construtor da classe */ private function __construct() { // } /* * Método privado para verificar se a extensão PDO do banco de dados escolhido * está habilitada */ private static function verificaExtensao() { switch(SGBD): case 'mysql': $extensao = 'pdo_mysql'; break; case 'mssql':{ if(SERVER == 'linux'): $extensao = 'pdo_dblib'; else: $extensao = 'pdo_sqlsrv'; endif; break; } case 'postgre': $extensao = 'pdo_pgsql'; break; endswitch; if(!extension_loaded($extensao)): echo "<h1>Extensão {$extensao} não habilitada!</h1>"; exit(); endif; } /* * Método estático para retornar uma conexão válida * Verifica se já existe uma instância da conexão, caso não, configura uma nova conexão */ public static function getInstance() { self::verificaExtensao(); if (!isset(self::$pdo)) { try { $opcoes = array(\PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES UTF8'); switch (SGBD) : case 'mysql': self::$pdo = new \PDO("mysql:host=" . HOST . "; dbname=" . DBNAME . ";", USER, PASSWORD, $opcoes); break; case 'mssql':{ if(SERVER == 'linux'): self::$pdo = new \PDO("dblib:host=" . HOST . "; database=" . DBNAME . ";", USER, PASSWORD, $opcoes); else: self::$pdo = new \PDO("sqlsrv:server=" . HOST . "; database=" . DBNAME . ";", USER, PASSWORD, $opcoes); endif; break; } case 'postgre': self::$pdo = new \PDO("pgsql:host=" . HOST . "; dbname=" . DBNAME . ";", USER, PASSWORD, $opcoes); break; endswitch; self::$pdo->setAttribute(\PDO::ATTR_ERRMODE, \PDO::ERRMODE_EXCEPTION); } catch (PDOException $e) { print "Erro: " . $e->getMessage(); } } return self::$pdo; } public static function isConectado(){ if(self::$pdo): return true; else: return false; endif; } } O sistema está funcionando perfeitamente, porém gostaria de incluir a necessidade de fazer login para acessá-lo. Usei o código abaixo, que também consegui na internet:
      <?php session_start(); include('conexao.php'); if(empty($_POST['usuario']) || empty($_POST['senha'])) { header('Location: index.php'); exit(); } $usuario = mysqli_real_escape_string($conexao, $_POST['usuario']); $senha = mysqli_real_escape_string($conexao, $_POST['senha']); $query = "SELECT usuario FROM tab_usuarios WHERE usuario = '{$usuario}' AND senha = md5('{$senha}')"; $result = mysqli_query($conexao, $query); $row = mysqli_num_rows($result); if($row == 1) { $_SESSION['usuario'] = $usuario; header('Location: painel_professor.php'); exit(); } else { $_SESSION['nao_autenticado'] = true; header('Location: index.php'); exit(); } Porém esse login só funciona usando esse arquivo de conexão:
      <?php define('HOST', '127.0.0.1'); define('USUARIO', 'tonhao'); define('SENHA', '100375'); define('DB', 'contratos_rh'); $conexao = mysqli_connect(HOST, USUARIO, SENHA, DB) or die ('Não foi possível conectar'); Como poderia adaptá-lo para que funcione com o primeiro arquivo de conexão? Tentei por vários dias, mas como tenho pouca experiência com programação, não consegui.
      Desde já agradeço a ajuda de todos
       
    • feasso
      Login com LinkedIn (C#)
      Por feasso
      É possível criar um sistema de cadastre-se ou logue-se usando LinkedIn ? Não achei nada na web que seja novo... apenas postagem de 2013!
    • asacap1000
      Certisign Login em PHP
      Por asacap1000
      Galera já não sei mais onde procurar, estou configurando o processo de login com certificação digital porém não consigo ler o retorno. No site da Certisign explica em java e .Net mas utilizo em minha aplicação da intranet tudo em PHP como eu teria que fazer. Segue exemplo que eles fornecem em .Net
       
      <form action="https://autenticador.certisign.com.br/CertisignLogin/certificado/login" method="get"> <input type="hidden" value="209" id="id" name="id"> <input type="hidden" value="CHAVE CRIPTOGRAFICA INICIAL" id="nome" name="nome"> <input type="hidden" value="http://www.seusite.com.br/suaAplicacao/retorno" id="retorno" name="retorno"> <div> <input type="image" src="images/ico-certisign_30x30.png" alt="Submit" id="btnLoginCertisign"> </div> </form> O de cima envia até aí tudo bem
       
      Abaixo o retorno que é o que não consigo fazer em PHP
       
      string retorno = Request["cb"]; string encryptionKey = "<conteúdo da chave criptográfica descarregada na etapa 2>"; retorno = CryptoLogin.Instance.DecryptText(retorno,encryptionKey);</conteúdo> A variável retorno deverá mostrar as informações como o exemplo aaixo.
       
      CertificadoBean: { emissor: Certisign Autoridade Certificadora TESTE, nome: "PROPRIETARIO DO CERTIFICADO DE TESTE", cpf: "001.002.003-44", cnpj: "", OAB: "", validade: "2015-05-27 20:59:59", emissao: "2014-05-27 21:00:00", email: "proprietario.teste@certisign.com.br", certificadoBase64: "MIIFmDCCBICgAwI...... BAQUFADCCARAx" }  
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito