Ir para conteúdo
tii3030

Sistema de login com PHP

Por , em PHP

Recommended Posts

tii3030    0

tii3030
Postado

Olá pessoal, desenvolvi um pequeno código em PHP com a função de verificar e validar usuário e senha de um formulário, juntamente com o meu banco de dados MySql.

Gostaria de saber como aprimorar o meu código para torna-lo mais seguro e mais próximo de algo "profissional". Lembrando que minha senha no banco está criptografada (PASSWORD_BCRYPT).

 

<?php

    #----------------- INCLUDING FILE --> "conf.php"
    include('conf.php');

        if (isset($_POST['submit'])) {
       
#--------------------------------INPUTS ---------------------------------------------#

            $email = mysqli_real_escape_string($conexao, $_POST['email']);
            $password = mysqli_real_escape_string($conexao, $_POST['password']);

#-----------------------#----------------------#-----------------_#-------------------#

            $query_select_email = "SELECT email FROM usuarios WHERE email = '$email'";
            $select_email = mysqli_query($conexao,$query_select_email);

            $query_select_password = "SELECT password FROM usuarios";
            $select_password = mysqli_query($conexao,$query_select_password);

            while($array = mysqli_fetch_array($select_password)) {
            $logarray = $array['password'];

            
                if (password_verify($password, $logarray)) {
                    if (mysqli_num_rows($select_email) == 1) {
                        
                    $_SESSION['email'] = $email;
                    header('location: XXX.html');
                    exit();
                    }
                }
                else {
                    echo "Loguin ou senha incorretos";
                }
            $logarray = '0';
            }
        }
?>

Compartilhar este post

Link para o post
Compartilhar em outros sites

fred_melo_07    0

fred_melo_07
Postado

Na verdade, você pode pegar os dados inseridos pelo usuário (email e senha) e fazer uma query pra ver se retorna do MySQL algum registro compatível com email e senha.
Ai você faz mais uma verificação que é comparar o email e senha retornado do MySQL com o email e senha inserido pelo usuário.
Essa segunda verificação é algo bom a se fazer pois fica seguro em relação a um SQL Inject!
Sucesso ae!
=]

Compartilhar este post

Link para o post
Compartilhar em outros sites

michelmir    0

michelmir
Postado

Como forma de aprimoramento e segurança é importante que o seu código se previna de SQL injection que é um tipo de ameaça de segurança que interage com dados através de comandos SQL, onde o atacante consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta query (SELECT/UPDATE) através de formulários ou URL de uma aplicação por exemplo.

 

No caso, para o PHP, você pode montar o seu script baseando-se em prepared statements que no caso, segundo manual do PHP,  consiste em dois estágios: preparar e executar. No estágio de preparação, um modelo de instrução é enviado ao servidor de banco de dados. O servidor executa uma verificação de sintaxe e inicializa os recursos internos do servidor para uso posterior. Isso é uma forma segura de evitar o SQL Injection.

 

Abaixo segue um exemplo de um script que tem a função de realizar um login depois que o usuário inseri os dados de acesso: 

$message = '';

if(isset($_POST["login"]))
{
	$query = "
	SELECT * FROM register_user 
		WHERE user_email = :user_email
	";
	$statement = $connect->prepare($query);
	$statement->execute(
		array(
				'user_email'	=>	$_POST["user_email"]
			)
	);
	$count = $statement->rowCount();
	if($count > 0)
	{
		$result = $statement->fetchAll();
		foreach($result as $row)
		{
			if($row['user_email_status'] == 'verified')
			{
				if(password_verify($_POST["user_password"], $row["user_password"]))
				//if($row["user_password"] == $_POST["user_password"])
				{
					$_SESSION['user_id'] = $row['register_user_id'];
					$_SESSION['userName'] = $row['user_name'];
					header("location: minha-conta.php");
				}
				else
				{
					$message = "<label>Senha incorreta</label>";
				}
			}
			else
			{
				$message = "<label class="text-danger">Ative a sua conta clicando no link de ativação enviado para o e-mail de cadastro</label>";
			}
		}
	}
	else
	{
		$message = "<label class="text-danger">E-mail de cadastro incorreto</label>";
	}
}

Observe que a variável $query é preparada e depois executada no formato abaixo: 

	$statement = $connect->prepare($query);
	$statement->execute(
		array(
				'user_email'	=>	$_POST["user_email"]
			)
	);

Outro ponto importante para um sistema de login é a validação do e-mail cadastrado. Dessa forma a autenticação de um e-mail válido seria mais eficiente pois é uma das maneiras de autenticar e validar o cadastro com um e-mail válido.

 

Além dessas formas aqui citadas, é importante também criar mecanismos de validação de campos para verificar se as informações inseridas dentro de um campo por um usuário por exemplo, estão corretas antes de serem enviadas para o banco de dados. Um exemplo poderia ser o campo CPF/CNPJ. Se nesses campos não houver um código jquery por exemplo, validando um número cpf o ucnpj, o banco de dados poderá receber qualquer sequência de números "sujando", digamos assim, o seu banco de dados com dados incorretos.

 

Por fim, criei um exemplo de um sistema simples de login, validação de e-mail usando a biblioteca PHPmailer e ativação de conta onde você pode baixar e fazer testes com ele. No mais, sucesso aí.

Compartilhar este post

Link para o post
Compartilhar em outros sites

paulinhosupriano    103

paulinhosupriano
Postado

Em um sistema de Login, recomendo a utilização de funções, para assim, reutilizar validações em arquivos. Utilizando funções facilitara muito a sua vida.

 

 

config.php 

<?php

define('HOST','localhost');
define('USER','root');
define('PASS','');
define('DBSA','test');

function connection(){
	try {
	  $pdo = new PDO('mysql:host='.HOST.';dbname='.DBSA.';charset=utf8', USER,PASS, array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"));
		$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
		return $pdo;
	} catch(PDOException $e) {
		throw new \Exception(_("Erro ao conectar". $e->getMessage()));
	}
}

functions.php

  

<?php

function isMail($mail){
	if (filter_var($mail, FILTER_VALIDATE_EMAIL)):
		return true;
	endif;
	return false;
}

function setMessage($key,$content){
	$_SESSION[$key] = $content;
}
function getMessage($key){
	$message = '';
	if(isset($_SESSION[$key])):
		$message = $_SESSION[$key];
		unset($_SESSION[$key]);
	endif;
	return $message;
}

function CryptPassword($password){
	return password_hash($password,PASSWORD_DEFAULT,['cost' => 12]);
}

function VerifyPassword($password,$hash){	
	return ( password_verify($password, $hash) ) ? true : false ;
}


function Auth($mail,$senha){

	if(!isMail($mail)):
		setMessage('login','O e-mail inválido.');
		return false;
	endif;

	$sql = "SELECT * from usuarios WHERE email = ? ";
	$exeQuery = connection()->prepare($sql);
	$exeQuery->execute([ $mail ]);
	if($exeQuery->rowCount() == 0 ):
		setMessage('login','Usuário não encontrado.');
		return false;
	endif;
	
	$user = $exeQuery->fetch(\PDO::FETCH_OBJ);
	if( !VerifyPassword($senha, $user->password) ):
		setMessage('login','Senha incorreta.');
		return false;
	endif;
	
	$_SESSION['userlogin'] = (array)$user;
	return (array)$user;
}


function checkAuth($session){
	if(!isset($session['email']) ):
		session_destroy();
		return false;
	endif;
	
	if(!isset($session['password']) ):
		session_destroy();
		return false;
	endif;
	
	
	if(!isMail($session['email'])):
		session_destroy();
		return false;
	endif;

	$sql = "SELECT * from usuarios WHERE email = ? and password = ?";
	$exeQuery = connection()->prepare($sql);
	$exeQuery->execute([ $session['email'],$session['password'] ]);
	if($exeQuery->rowCount() == 0 ):
		session_destroy();
		return false;
	endif;
	
	$user = $exeQuery->fetch(\PDO::FETCH_ASSOC);
	return $user;
}

index.php

  

<?php
session_start();
require_once('config.php');
require_once('functions.php');
?>
<!DOCTYPE html>
<html lang="pt-br">
<head>
    <meta charset="UTF-8" />
    <title>Login Auth</title>
</head>
<body>
    <?php
	
		$logar = filter_input_array(INPUT_POST,FILTER_DEFAULT);
		if(isset($logar)):
			$user = Auth($logar['email'],$logar['senha']);
			if(!$user):
				echo getMessage('login');
			else:
				header('Location: painel.php');
			endif;
		endif;
		
		
	?>
	<form action="" method="POST">
		<input type="text" name="email">
		<input type="password" name="senha">
		<input type="submit" value="Logar!"/>
	</form>
	
</body>
</html>

 

painel.php

  

<?php
session_start();
require_once('config.php');
require_once('functions.php');

$logoff = filter_input(INPUT_GET,'sair',FILTER_VALIDATE_BOOLEAN);
if(!isset($_SESSION['userlogin'])){
	@session_destroy();
	header('Location: index.php');
}elseif(isset($logoff) && $logoff){
	@session_destroy();
	setMessage('login','Você desconetou com sucesso.');
	header('Location: index.php');
}else{
	$user = checkAuth($_SESSION['userlogin']);
	if(!$user){
		@session_destroy();
		header('Location: index.php');
	}
}


?>
<!DOCTYPE html>
<html lang="pt-br">
<head>
    <meta charset="UTF-8" />
    <title>Painel de Administração</title>
</head>
<body>
    <h1>Olá <?=$user['nome'];?>!</h1>	
	<a href="?sair=true">Sair</a>
</body>
</html>

 

SQL:

  

CREATE TABLE `usuarios` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `nome` varchar(255) DEFAULT NULL,
  `email` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

 

 

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • landerbadi
      Consulta SQL dentro de outra consulta
      Por landerbadi
      Boa tarde pessoal. Estou tentado fazer uma consulta no banco de dados porém estou tendo dificuldades. Tenho uma tabela chamada "itens" com os seguintes campos: id, item, ativo. Nela tem cadastrado vários itens. No campo ativo eu coloco a letra "S" para informar que este item está ativo no sistema. Por exemplo: 1, casa, S 2, mesa, S 3, cama, S 4, moto S 5, rádio O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo ativo. E outra tabela chamada "produtos" com os seguintes campos (id, item1, item2, item3) com os seguintes registros: 1, casa, mesa, moto 2, mesa, casa, cama 3, rádio, cama, mesa Eu preciso fazer uma busca na tabela produtos da seguinte maneira: Eu escolho um registro na tabela "itens", por exemplo "mesa". Preciso fazer com que o php me liste todos os registros da tabela "produtos" que contenham a palavra "mesa". Até aqui tudo bem eu consigo listar. Estou fazendo assim: <?php $item = "mesa" $sql = mysqli_query($conn, "SELECT * FROM produtos WHERE item1 LIKE '$item' OR item2 LIKE '$item' OR item3 LIKE '$item' LIMIT 10"); while($aux = mysqli_fetch_assoc($sql)) { $id = $aux["id"]; $item1 = $aux["item1"]; $item2 = $aux["item2"]; $item3 = $aux["item3"]; echo $id . " - " . $item1 . ", " . $item2 . ", " $item3 . "<br>"; } ?> O problema é que está listando todos os registros que contém o item mesa. Eu preciso que o php verifique os demais item e me liste somente os registro em que todos os registros estejam ativos no sistema. No exemplo acima ele não deveria listar o registro 3. pois nesse registro contém o item "radio" e este item não está ativo no sistema. Ou seja, o registro "radio" na tabela itens não possui um "S" na coluna "ativo". Alguém sabe como resolver isso?
    • ILR master
      Ler campos com caracteres especiais no xml
      Por ILR master
      Fala galera.
      Espero que todos estejam bem.
      Seguinte: Tenho um arquivo xml onde alguns campos estão com : (dois pontos), como o exemplo abaixo:
       
      <item>
      <title>
      d sa dsad sad sadasdas
      </title>
      <link>
      dsadas dsa sad asd as dsada
      </link>
      <pubDate>sadasdasdsa as</pubDate>
      <dc:creator>
      d sad sad sa ad as das
      </dc:creator>
      </item>
       
      Meu código:
       
      $link = "noticias.xml"; 
      $xml = simplexml_load_file($link); 
      foreach($xml -> channel as $ite) {     
           $titulo = $ite -> item->title;
           $urltitulo = $ite -> item->link;
           print $urltitulo = $ite -> item->dc:creator;
      } //fim do foreach
      ?>
       
      Esse campo dc:creator eu não consigo ler. Como faço?
       
      Agradeço quem puder me ajudar.
       
      Abs
       
       
    • First
      Sistema não funciona corretamente
      Por First
      Olá a todos!
       
      Eu estou criando um sistema do zero mas estou encontnrando algumas dificuldades e não estou sabendo resolver, então vim recorrer ajuda de vocês.
      Aqui está todo o meu código: https://github.com/PauloJagata/aprendizado/
       
      Eu fiz um sistema de rotas mas só mostra o conteúdo da '/' não sei porque, quando eu tento acessar o register nada muda.
      E eu também quero que se não estiver liberado na rota mostra o erro de 404, mas quando eu tento acessar um link inválido, nada acontece.
      Alguém pode me ajudar com isso? E se tiver algumas sugestão para melhoria do código também estou aceitando.
       
       
      Desde já, obrigado.
    • landerbadi
      Saber se todos os produtos de uma consulta estão cadastrados no banco de dados
      Por landerbadi
      Olá pessoal, boa tarde
       
      Tenho uma tabela chamada "produtos" com os seguintes campos (id, produto) e outra tabela chamada "itens" com os seguintes campos (id, prod_01, prod_02, prod_03, prod_04).
       
      Na tabela produtos eu tenho cadastrado os seguintes produtos: laranja, maçã, uva, goiaba, arroz, feijão, macarrão, etc.
       
      Na tabela itens eu tenho cadastrado os itens da seguinte maneira:
       
      1, laranja, uva, arroz, feijão;
      2, maçã, macarrão, goiaba, uva;
      3, arroz, feijão, maçã, azeite
       
      Meu problema é o seguinte: 
      Eu escolho um produto da tabela "produtos", por exemplo "uva".  Preciso fazer uma consulta na tabela "itens" para ser listado todos os registros que contenham o produto "uva" e que todos os demais produtos estejam cadastrados na tabela "produtos".
       
      No exemplo acima seria listado apenas dois registros, pois o terceiro registro não contém o produto "uva". 
       
      Alguém pode me ajudar? Pois estou quebrando a cabeça a vários dias e não consigo achar uma solução.
    • landerbadi
      Fazer busca no Banco de dados usando vários critério
      Por landerbadi
      Boa tarde pessoal. Estou tentado fazer uma consulta no banco de dados porém estou tendo dificuldades. Tenho uma tabela chamada "itens" com os seguintes campos: id, item, plural, ativo. Nela tem cadastrado vários itens e seu respectivo plural. No campo ativo eu coloco a letra "S" para informar que esta palavra está ativa no sistema. Por exemplo: 1, casa, casas, S 2, mesa, mesas, S 3, cama, camas, S 4, moto, motos, S 5, rádio, rádios O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo ativo. E outra tabela chamada "variações" com os seguintes campos (id, item1, item2, item3) com os seguintes registros: 1, casa, camas, moto 2, mesas, casas, radio 3, rádio, cama, mesa Eu preciso fazer uma busca na tabela variações da seguinte maneira: Eu escolho um registro na tabela "itens", por exemplo "casa". Preciso fazer com que o php me liste todos os registros da tabela "variações" que contenham a palavra "casa". Porém se tiver algum registro com a palavra "casas" também tem que ser listado. Neste caso ele irá encontrar dois registros. Agora eu preciso que o php verifique os demais itens e faça a listagem apenas dos item que estão ativos (que contenham um "S" no campo ativo. Neste caso ele irá encontrar apenas um registro, pois o segundo registro contém a palavra "rádio". E "rádio" não está ativo na tabela itens. Como faço isso?
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito