Sistema de login com PHP

[tii3030 0]

Olá pessoal, desenvolvi um pequeno código em PHP com a função de verificar e validar usuário e senha de um formulário, juntamente com o meu banco de dados MySql.

Gostaria de saber como aprimorar o meu código para torna-lo mais seguro e mais próximo de algo "profissional". Lembrando que minha senha no banco está criptografada (PASSWORD_BCRYPT).

 

<?php

    #----------------- INCLUDING FILE --> "conf.php"
    include('conf.php');

        if (isset($_POST['submit'])) {
       
#--------------------------------INPUTS ---------------------------------------------#

            $email = mysqli_real_escape_string($conexao, $_POST['email']);
            $password = mysqli_real_escape_string($conexao, $_POST['password']);

#-----------------------#----------------------#-----------------_#-------------------#

            $query_select_email = "SELECT email FROM usuarios WHERE email = '$email'";
            $select_email = mysqli_query($conexao,$query_select_email);

            $query_select_password = "SELECT password FROM usuarios";
            $select_password = mysqli_query($conexao,$query_select_password);

            while($array = mysqli_fetch_array($select_password)) {
            $logarray = $array['password'];

            
                if (password_verify($password, $logarray)) {
                    if (mysqli_num_rows($select_email) == 1) {
                        
                    $_SESSION['email'] = $email;
                    header('location: XXX.html');
                    exit();
                    }
                }
                else {
                    echo "Loguin ou senha incorretos";
                }
            $logarray = '0';
            }
        }
?>

[fred_melo_07 0]

Na verdade, você pode pegar os dados inseridos pelo usuário (email e senha) e fazer uma query pra ver se retorna do MySQL algum registro compatível com email e senha.
Ai você faz mais uma verificação que é comparar o email e senha retornado do MySQL com o email e senha inserido pelo usuário.
Essa segunda verificação é algo bom a se fazer pois fica seguro em relação a um SQL Inject!
Sucesso ae!
=]

[michelmir 0]

Como forma de aprimoramento e segurança é importante que o seu código se previna de SQL injection que é um tipo de ameaça de segurança que interage com dados através de comandos SQL, onde o atacante consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta query (SELECT/UPDATE) através de formulários ou URL de uma aplicação por exemplo.

 

No caso, para o PHP, você pode montar o seu script baseando-se em prepared statements que no caso, segundo manual do PHP,  consiste em dois estágios: preparar e executar. No estágio de preparação, um modelo de instrução é enviado ao servidor de banco de dados. O servidor executa uma verificação de sintaxe e inicializa os recursos internos do servidor para uso posterior. Isso é uma forma segura de evitar o SQL Injection.

 

Abaixo segue um exemplo de um script que tem a função de realizar um login depois que o usuário inseri os dados de acesso:

$message = '';

if(isset($_POST["login"]))
{
	$query = "
	SELECT * FROM register_user 
		WHERE user_email = :user_email
	";
	$statement = $connect->prepare($query);
	$statement->execute(
		array(
				'user_email'	=>	$_POST["user_email"]
			)
	);
	$count = $statement->rowCount();
	if($count > 0)
	{
		$result = $statement->fetchAll();
		foreach($result as $row)
		{
			if($row['user_email_status'] == 'verified')
			{
				if(password_verify($_POST["user_password"], $row["user_password"]))
				//if($row["user_password"] == $_POST["user_password"])
				{
					$_SESSION['user_id'] = $row['register_user_id'];
					$_SESSION['userName'] = $row['user_name'];
					header("location: minha-conta.php");
				}
				else
				{
					$message = "<label>Senha incorreta</label>";
				}
			}
			else
			{
				$message = "<label class="text-danger">Ative a sua conta clicando no link de ativação enviado para o e-mail de cadastro</label>";
			}
		}
	}
	else
	{
		$message = "<label class="text-danger">E-mail de cadastro incorreto</label>";
	}
}

Observe que a variável $query é preparada e depois executada no formato abaixo:

	$statement = $connect->prepare($query);
	$statement->execute(
		array(
				'user_email'	=>	$_POST["user_email"]
			)
	);

Outro ponto importante para um sistema de login é a validação do e-mail cadastrado. Dessa forma a autenticação de um e-mail válido seria mais eficiente pois é uma das maneiras de autenticar e validar o cadastro com um e-mail válido.

 

Além dessas formas aqui citadas, é importante também criar mecanismos de validação de campos para verificar se as informações inseridas dentro de um campo por um usuário por exemplo, estão corretas antes de serem enviadas para o banco de dados. Um exemplo poderia ser o campo CPF/CNPJ. Se nesses campos não houver um código jquery por exemplo, validando um número cpf o ucnpj, o banco de dados poderá receber qualquer sequência de números "sujando", digamos assim, o seu banco de dados com dados incorretos.

 

Por fim, criei um exemplo de um sistema simples de login, validação de e-mail usando a biblioteca PHPmailer e ativação de conta onde você pode baixar e fazer testes com ele. No mais, sucesso aí.

[paulinhosupriano 103]

Em um sistema de Login, recomendo a utilização de funções, para assim, reutilizar validações em arquivos. Utilizando funções facilitara muito a sua vida.

 

 

config.php

<?php

define('HOST','localhost');
define('USER','root');
define('PASS','');
define('DBSA','test');

function connection(){
	try {
	  $pdo = new PDO('mysql:host='.HOST.';dbname='.DBSA.';charset=utf8', USER,PASS, array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"));
		$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
		return $pdo;
	} catch(PDOException $e) {
		throw new \Exception(_("Erro ao conectar". $e->getMessage()));
	}
}	

functions.php

 

<?php

function isMail($mail){
	if (filter_var($mail, FILTER_VALIDATE_EMAIL)):
		return true;
	endif;
	return false;
}

function setMessage($key,$content){
	$_SESSION[$key] = $content;
}
function getMessage($key){
	$message = '';
	if(isset($_SESSION[$key])):
		$message = $_SESSION[$key];
		unset($_SESSION[$key]);
	endif;
	return $message;
}

function CryptPassword($password){
	return password_hash($password,PASSWORD_DEFAULT,['cost' => 12]);
}

function VerifyPassword($password,$hash){	
	return ( password_verify($password, $hash) ) ? true : false ;
}


function Auth($mail,$senha){

	if(!isMail($mail)):
		setMessage('login','O e-mail inválido.');
		return false;
	endif;

	$sql = "SELECT * from usuarios WHERE email = ? ";
	$exeQuery = connection()->prepare($sql);
	$exeQuery->execute([ $mail ]);
	if($exeQuery->rowCount() == 0 ):
		setMessage('login','Usuário não encontrado.');
		return false;
	endif;
	
	$user = $exeQuery->fetch(\PDO::FETCH_OBJ);
	if( !VerifyPassword($senha, $user->password) ):
		setMessage('login','Senha incorreta.');
		return false;
	endif;
	
	$_SESSION['userlogin'] = (array)$user;
	return (array)$user;
}


function checkAuth($session){
	if(!isset($session['email']) ):
		session_destroy();
		return false;
	endif;
	
	if(!isset($session['password']) ):
		session_destroy();
		return false;
	endif;
	
	
	if(!isMail($session['email'])):
		session_destroy();
		return false;
	endif;

	$sql = "SELECT * from usuarios WHERE email = ? and password = ?";
	$exeQuery = connection()->prepare($sql);
	$exeQuery->execute([ $session['email'],$session['password'] ]);
	if($exeQuery->rowCount() == 0 ):
		session_destroy();
		return false;
	endif;
	
	$user = $exeQuery->fetch(\PDO::FETCH_ASSOC);
	return $user;
}

index.php

 

<?php
session_start();
require_once('config.php');
require_once('functions.php');
?>
<!DOCTYPE html>
<html lang="pt-br">
<head>
    <meta charset="UTF-8" />
    <title>Login Auth</title>
</head>
<body>
    <?php
	
		$logar = filter_input_array(INPUT_POST,FILTER_DEFAULT);
		if(isset($logar)):
			$user = Auth($logar['email'],$logar['senha']);
			if(!$user):
				echo getMessage('login');
			else:
				header('Location: painel.php');
			endif;
		endif;
		
		
	?>
	<form action="" method="POST">
		<input type="text" name="email">
		<input type="password" name="senha">
		<input type="submit" value="Logar!"/>
	</form>
	
</body>
</html>

 

painel.php

 

<?php
session_start();
require_once('config.php');
require_once('functions.php');

$logoff = filter_input(INPUT_GET,'sair',FILTER_VALIDATE_BOOLEAN);
if(!isset($_SESSION['userlogin'])){
	@session_destroy();
	header('Location: index.php');
}elseif(isset($logoff) && $logoff){
	@session_destroy();
	setMessage('login','Você desconetou com sucesso.');
	header('Location: index.php');
}else{
	$user = checkAuth($_SESSION['userlogin']);
	if(!$user){
		@session_destroy();
		header('Location: index.php');
	}
}


?>
<!DOCTYPE html>
<html lang="pt-br">
<head>
    <meta charset="UTF-8" />
    <title>Painel de Administração</title>
</head>
<body>
    <h1>Olá <?=$user['nome'];?>!</h1>	
	<a href="?sair=true">Sair</a>
</body>
</html>

 

SQL:

 

CREATE TABLE `usuarios` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `nome` varchar(255) DEFAULT NULL,
  `email` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;