Jump to content
tii3030

Sistema de login com PHP

Recommended Posts

Olá pessoal, desenvolvi um pequeno código em PHP com a função de verificar e validar usuário e senha de um formulário, juntamente com o meu banco de dados MySql.

Gostaria de saber como aprimorar o meu código para torna-lo mais seguro e mais próximo de algo "profissional". Lembrando que minha senha no banco está criptografada (PASSWORD_BCRYPT).

 

<?php

    #----------------- INCLUDING FILE --> "conf.php"
    include('conf.php');

        if (isset($_POST['submit'])) {
       
#--------------------------------INPUTS ---------------------------------------------#

            $email = mysqli_real_escape_string($conexao, $_POST['email']);
            $password = mysqli_real_escape_string($conexao, $_POST['password']);

#-----------------------#----------------------#-----------------_#-------------------#

            $query_select_email = "SELECT email FROM usuarios WHERE email = '$email'";
            $select_email = mysqli_query($conexao,$query_select_email);

            $query_select_password = "SELECT password FROM usuarios";
            $select_password = mysqli_query($conexao,$query_select_password);

            while($array = mysqli_fetch_array($select_password)) {
            $logarray = $array['password'];

            
                if (password_verify($password, $logarray)) {
                    if (mysqli_num_rows($select_email) == 1) {
                        
                    $_SESSION['email'] = $email;
                    header('location: XXX.html');
                    exit();
                    }
                }
                else {
                    echo "Loguin ou senha incorretos";
                }
            $logarray = '0';
            }
        }
?>

Share this post


Link to post
Share on other sites

Na verdade, você pode pegar os dados inseridos pelo usuário (email e senha) e fazer uma query pra ver se retorna do MySQL algum registro compatível com email e senha.
Ai você faz mais uma verificação que é comparar o email e senha retornado do MySQL com o email e senha inserido pelo usuário.
Essa segunda verificação é algo bom a se fazer pois fica seguro em relação a um SQL Inject!
Sucesso ae!
=]

Share this post


Link to post
Share on other sites

Como forma de aprimoramento e segurança é importante que o seu código se previna de SQL injection que é um tipo de ameaça de segurança que interage com dados através de comandos SQL, onde o atacante consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta query (SELECT/UPDATE) através de formulários ou URL de uma aplicação por exemplo.

 

No caso, para o PHP, você pode montar o seu script baseando-se em prepared statements que no caso, segundo manual do PHP,  consiste em dois estágios: preparar e executar. No estágio de preparação, um modelo de instrução é enviado ao servidor de banco de dados. O servidor executa uma verificação de sintaxe e inicializa os recursos internos do servidor para uso posterior. Isso é uma forma segura de evitar o SQL Injection.

 

Abaixo segue um exemplo de um script que tem a função de realizar um login depois que o usuário inseri os dados de acesso:

$message = '';

if(isset($_POST["login"]))
{
	$query = "
	SELECT * FROM register_user 
		WHERE user_email = :user_email
	";
	$statement = $connect->prepare($query);
	$statement->execute(
		array(
				'user_email'	=>	$_POST["user_email"]
			)
	);
	$count = $statement->rowCount();
	if($count > 0)
	{
		$result = $statement->fetchAll();
		foreach($result as $row)
		{
			if($row['user_email_status'] == 'verified')
			{
				if(password_verify($_POST["user_password"], $row["user_password"]))
				//if($row["user_password"] == $_POST["user_password"])
				{
					$_SESSION['user_id'] = $row['register_user_id'];
					$_SESSION['userName'] = $row['user_name'];
					header("location: minha-conta.php");
				}
				else
				{
					$message = "<label>Senha incorreta</label>";
				}
			}
			else
			{
				$message = "<label class="text-danger">Ative a sua conta clicando no link de ativação enviado para o e-mail de cadastro</label>";
			}
		}
	}
	else
	{
		$message = "<label class="text-danger">E-mail de cadastro incorreto</label>";
	}
}

Observe que a variável $query é preparada e depois executada no formato abaixo:

	$statement = $connect->prepare($query);
	$statement->execute(
		array(
				'user_email'	=>	$_POST["user_email"]
			)
	);

Outro ponto importante para um sistema de login é a validação do e-mail cadastrado. Dessa forma a autenticação de um e-mail válido seria mais eficiente pois é uma das maneiras de autenticar e validar o cadastro com um e-mail válido.

 

Além dessas formas aqui citadas, é importante também criar mecanismos de validação de campos para verificar se as informações inseridas dentro de um campo por um usuário por exemplo, estão corretas antes de serem enviadas para o banco de dados. Um exemplo poderia ser o campo CPF/CNPJ. Se nesses campos não houver um código jquery por exemplo, validando um número cpf o ucnpj, o banco de dados poderá receber qualquer sequência de números "sujando", digamos assim, o seu banco de dados com dados incorretos.

 

Por fim, criei um exemplo de um sistema simples de login, validação de e-mail usando a biblioteca PHPmailer e ativação de conta onde você pode baixar e fazer testes com ele. No mais, sucesso aí.

Share this post


Link to post
Share on other sites

Em um sistema de Login, recomendo a utilização de funções, para assim, reutilizar validações em arquivos. Utilizando funções facilitara muito a sua vida.

 

 

config.php

<?php

define('HOST','localhost');
define('USER','root');
define('PASS','');
define('DBSA','test');

function connection(){
	try {
	  $pdo = new PDO('mysql:host='.HOST.';dbname='.DBSA.';charset=utf8', USER,PASS, array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"));
		$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
		return $pdo;
	} catch(PDOException $e) {
		throw new \Exception(_("Erro ao conectar". $e->getMessage()));
	}
}	

functions.php

 

<?php

function isMail($mail){
	if (filter_var($mail, FILTER_VALIDATE_EMAIL)):
		return true;
	endif;
	return false;
}

function setMessage($key,$content){
	$_SESSION[$key] = $content;
}
function getMessage($key){
	$message = '';
	if(isset($_SESSION[$key])):
		$message = $_SESSION[$key];
		unset($_SESSION[$key]);
	endif;
	return $message;
}

function CryptPassword($password){
	return password_hash($password,PASSWORD_DEFAULT,['cost' => 12]);
}

function VerifyPassword($password,$hash){	
	return ( password_verify($password, $hash) ) ? true : false ;
}


function Auth($mail,$senha){

	if(!isMail($mail)):
		setMessage('login','O e-mail inválido.');
		return false;
	endif;

	$sql = "SELECT * from usuarios WHERE email = ? ";
	$exeQuery = connection()->prepare($sql);
	$exeQuery->execute([ $mail ]);
	if($exeQuery->rowCount() == 0 ):
		setMessage('login','Usuário não encontrado.');
		return false;
	endif;
	
	$user = $exeQuery->fetch(\PDO::FETCH_OBJ);
	if( !VerifyPassword($senha, $user->password) ):
		setMessage('login','Senha incorreta.');
		return false;
	endif;
	
	$_SESSION['userlogin'] = (array)$user;
	return (array)$user;
}


function checkAuth($session){
	if(!isset($session['email']) ):
		session_destroy();
		return false;
	endif;
	
	if(!isset($session['password']) ):
		session_destroy();
		return false;
	endif;
	
	
	if(!isMail($session['email'])):
		session_destroy();
		return false;
	endif;

	$sql = "SELECT * from usuarios WHERE email = ? and password = ?";
	$exeQuery = connection()->prepare($sql);
	$exeQuery->execute([ $session['email'],$session['password'] ]);
	if($exeQuery->rowCount() == 0 ):
		session_destroy();
		return false;
	endif;
	
	$user = $exeQuery->fetch(\PDO::FETCH_ASSOC);
	return $user;
}

index.php

 

<?php
session_start();
require_once('config.php');
require_once('functions.php');
?>
<!DOCTYPE html>
<html lang="pt-br">
<head>
    <meta charset="UTF-8" />
    <title>Login Auth</title>
</head>
<body>
    <?php
	
		$logar = filter_input_array(INPUT_POST,FILTER_DEFAULT);
		if(isset($logar)):
			$user = Auth($logar['email'],$logar['senha']);
			if(!$user):
				echo getMessage('login');
			else:
				header('Location: painel.php');
			endif;
		endif;
		
		
	?>
	<form action="" method="POST">
		<input type="text" name="email">
		<input type="password" name="senha">
		<input type="submit" value="Logar!"/>
	</form>
	
</body>
</html>

 

painel.php

 

<?php
session_start();
require_once('config.php');
require_once('functions.php');

$logoff = filter_input(INPUT_GET,'sair',FILTER_VALIDATE_BOOLEAN);
if(!isset($_SESSION['userlogin'])){
	@session_destroy();
	header('Location: index.php');
}elseif(isset($logoff) && $logoff){
	@session_destroy();
	setMessage('login','Você desconetou com sucesso.');
	header('Location: index.php');
}else{
	$user = checkAuth($_SESSION['userlogin']);
	if(!$user){
		@session_destroy();
		header('Location: index.php');
	}
}


?>
<!DOCTYPE html>
<html lang="pt-br">
<head>
    <meta charset="UTF-8" />
    <title>Painel de Administração</title>
</head>
<body>
    <h1>Olá <?=$user['nome'];?>!</h1>	
	<a href="?sair=true">Sair</a>
</body>
</html>

 

SQL:

 

CREATE TABLE `usuarios` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `nome` varchar(255) DEFAULT NULL,
  `email` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

 

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By jganjos
      Boa tarde senhores.
      Estou gerando esta array com o PHP
       
      Array ( [header] => Array ( [ico] => fas fa-building [tit] => Empresa [lab] => Cadastro da Empresa ) [forms] => Array ( [RAZAO] => Array ( [tit] => Razão Social ) [NFANTASIA] => Array ( [tit] => Nome Fantasia [lin] => 1 [col] => 10 ) [STATUS] => Array ( [tit] => Status [typ] => switch [val] => 1,0 [lin] => 1 [col] => 2 ) [INSCRICAO] => Array ( [tit] => Inscrição [lin] => 2 [col] => 4 ) [IE] => Array ( [tit] => Insc. Estadual [lin] => 2 [col] => 4 ) [IM] => Array ( [tit] => Insc. Municipal [lin] => 2 [col] => 4 ) [CEP] => Array ( [tit] => CEP [lin] => 3 [col] => 4 [btn] => search ) [TIPO_END] => Array ( [typ] => hidden ) [ENDERECO] => Array ( [tit] => Endereço [lin] => 4 [col] => 9 ) [NUM_END] => Array ( [tit] => Número [lin] => 4 [col] => 3 ) [BAIRRO] => Array ( [tit] => Bairro [lin] => 5 [col] => 6 ) [COMPL] => Array ( [tit] => Complemento [lin] => 5 [col] => 6 ) [MUNICIPIO] => Array ( [tit] => Município [lin] => 6 [col] => 9 ) [UF] => Array ( [tit] => Estado [typ] => list [tab] => estados [lin] => 6 [col] => 3 ) [TEL1] => Array ( [tit] => Telefone [msk] => phone [lin] => 7 [col] => 6 ) [TEL2] => Array ( [tit] => Telefone [msk] => phone [lin] => 7 [col] => 6 ) [EMAIL] => Array ( [tit] => e-mail [typ] => email [lin] => 8 [col] => 6 ) [SITE] => Array ( [tit] => Site da empresa [typ] => website [lin] => 8 [col] => 6 ) ) ) Preciso listar os valores da Array *FORMS* e seus respectivos filhos mas não estou conseguindo utilizando o foreach.
      Alguém teria uma dica?
    • By helkton
      galera preciso criar um array que pegue os itens adicionais de cada ITEM  escolhido...
      vou tentar explicar...
      tenho uma pagina com as categorias do CARDÁPIO
      LANCHES - AÇAI - SALGADOS - PIZZAS
      CADA categoria contem seus devidos itens tipo...
      LANCHES 1-xFrango 2-xSalada 3-xBacon AÇAI 1-Copo 300ml 2-Copo 500ml 3-Copo 700ml até esta funcionando, cada item que o usuário escolher, salvo em uma S_SESSION['itens'] 
      agora vamos supor que, esses itens tenham adicionais, já criei um <?php if(){}?> e ele já faz essa verificação, então se o item LANCHES 1=XFRANGO NÃO conter adicional para ser escolhido ele simplesmente irá ser adicionado no carrinho, AGORA se o item tiver adicional para ser escolhido, irá abrir um MODAL com os adicionais disponíveis para o ITEM
      Agora digamos que o AÇAÍ) 1-COPO 300ML tenha adicional eu abro o meu modal com os seguintes adicionais:
      FRUTAS 1-Morango 1,00 2-Banana 1,00 3-Uva 1,00 COMPLEMENTOS 1-Ninho 1,00 2-Coco Ralado 1,00 3-Castanha 1,00 COBERTURA 1-Chocolate 1,00 2-Leite condensado 1,00 3-Morango 1,00 ADICIONAIS 1-Nutella 1,00 2-Bis 1,00 3-KitKat 1,00 então como pego esses adicionais e salvo em cada ITEM escolhido pelo usuário e se possivel somar esses adicionais que tenha valores também
    • By Rafaellaranjo
      Estou sofrendo a um tempo com consumo alto de CPU em meu servidor na maioria dos casos em virtude do MYSQL, trabalho com PHP e APACHE e MYSQL. Realizei inúmeras tentativas para acabar com o alto consumo porém todas fracassadas. O evento costuma ocorrer sempre nos mesmos horários, parte da manhã por volta de 9:30/11:00 e parte da tarde entre 14:00/16:00. Meu servidor possui hardware suficiente para suportar, porem acredito que esteja mal configurado. Estou encaminhando alguns processos que observo estar executando em excesso obtidos através do ps aux.
      dovecot/pop3-login
      dovecot/imap-login
      dovecot/lmtp -L
      php-fpm: pool app (o que mais aparece)
      Ps: utilizo um servidor CENTOS 7
       
    • By dimoreira
      Boa noite programadores, estou a procura de um profissional que desenvolva um site simples, que tem apenas que me mostrar os resultados em tempo real da pagina de resultados da bet 365. Mas especificamente do futebol virtual. Vou mandar em anexo uma foto pra ter como base.   O modelo mais simples possivel é somente para acompanhar os resultados em tempo real sem ter q esta acessando o site da bet.


×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.