PHP Login

Itse kun tekee, niin siinä sitä oppii..

Nimittäin kirjautumisen tehdessäsi, opit väkisin monia php:ssä tarvittavia perusjuttuja. Joten suosittelisin hyvin vahvasti yrittämään.

Jos sivullasi ei rekisteröityneitä käyttäjiä kovin kamalasti ole, niin ihan tiedostopohjainen systeemi on varmasti riittävän suorituskykyinen.

Alla on kuvailtuna systeemi, joka käyttää kahta tiedostoa. Toisessa on tallennettuna kaikki rekisteröityneet käyttäjät (tunnus ja salasana) ja toisessa taas kirjautuneet käyttäjät (tunnus ja istuntotunnus). Toki tämän voi hoitaa yhdelläkin tiedostolla, mutta tässä nyt vaikkapa selvyyden vuoksi näin.

Tiedostot kannattaa sijoittaa kansioon, joka ei näy webissä. esimerkiksi .htaccessilla suojattuun kansioon, tai nettijuurihakemiston (public_html) ulkopuolelle. phpllä kun kuitenkin on pääsy näihin - käyttäjillä ei.

Salasanat kannattaa hashata jotenkin. Esimerkiksi sillä md5() funktiolla. näin niitä ei (heti) saa selville, vaikka jollain ihmeen kaupalla tiedostot saisikin näkyviin.

Seuraavassa yleinen periaate loginille. Samanlainen rakenne joka sivulle, jonka haluat olla salasanalla suojattu. include() -komento on kova sana... Tiedostonkäsittelyfunktioita en jaksanut kirjoittaa. Ne on kuitenkin ihan peruskauraa: esim rivi kerrallaan tallentaa ja lukee. tunnus ja salasana voi olla erotettuna vaikkapa välilyönnillä, tai jollain erikoismerkillä toisistaan.



1) jokaisen suojattavan php-sivun alkuun session_start(), jolla luodaan istunto, sekä merkintä siitä, että käyttäjää ei ole (vielä) tunnistettu (kirjautunut=false)

2) tämän jälkeen joka sivulle koodi, joka tarkastaa, pitääkö käyttäjältä kysyä tunnukset, vai löytyykö se kirjautuneista käyttäjistä

2.1) tarkasta, josko käyttäjän istuntotunnus ($_SESSION['istuntotunnus'] )löytyy 'kirjautuneet käyttäjät' -tiedostosta (ks. kohta 2.4). jos istuntotunnus löytyy, niin kyseinen käyttäjä on silloin tunnistettu ja voit merkitä käyttäjän kirjautuneeksi (kirjautunut=true)

2.2) jos kyseistä istuntotunnusta ei löydy tiedostosta, pyydä käyttäjältä tunnukset (perus html:n FORM:lla onnistuu)

2.3) vertaa käyttäjän syöttämiä tunnuksia ja palvelimella tiedostossa tallessa olevia, rekisteröityjä tunnuksia toisiinsa. jos löytyy sama tunnus/salasana -pari, niin käyttäjä on tunnistettu ja voit tehdä seuraavat toimenpiteet.

3.1) luo käyttäjälle uniikki istuntotunnus (esim. uniqid() -funktiolla), jonka tallennat $_SESSION[] -muuttujaan, sekä 'kirjautuneet käyttäjät' -tiedostoon yhdessä edellä löydetyn tunnuksen kanssa (esim samalle riville).

3.2) merkitse käyttäjä kirjautuneeksi (kirjautunut=true)

4) edellä olevien tarkastusten jälkeen voit testata sivulla, onko käyttäjä kirjautunut (kirjautunut=true/false). jos käyttäjä on kirjautunut, voit päästää hänet sisään. jos ei, niin virheilmoitus/uudelleen kirjautumisyritys

5) jos käyttäjä haluaa kirjautua ulos, pitää istunto tuhota ja istuntotunnus nollata (session_destroy() ja unset( $_SESSION['istunto'] ), sekä 'kirjautuneet käyttäjät' -tiedostosta poistaa ko. käyttäjän tiedot.

*******
esim.php
*******

ettet ole vielä lukenut MBNETin omia ohjeita asiasta..

http://www.mbnet.fi/mbinternet/ohjeet/suojaus/

:)