PHP/MySQL authenticatie met sessions
Door R. Hebing, 22 jaar geleden, 4.661x bekeken
Een kant en klaar systeem voor PHP/MySQL authenticatie met sessions. Het script genereert een aantal bestanden, add_user.php, inc_login.php en login_verify.php. Met add_user.php kun je gebruikers toevoegen (verwijderen moet je maar vanuit de database doen). Zet bovenaan iedere te beveiligen pagina deze code:
Gewoon het voorbeeldscript downloaden, op je server kwakken en het script uitvoeren. Ik heb de code ook hieronder neergezet omdat code een verplicht veld is.
Voorbeeld: http://www.its-learning.com/data/423/1618/install.php
Gesponsorde koppelingen
PHP script bestanden
Er zijn 12 reacties op 'Phpmysql authenticatie met sessions'
0 
-0 
-0
Je vergeet bij regel 32 dat je er ?> hebt staan denk ik, want zo werkt het script niet
0 -0
-0
Even tussen en plempen.
Verder is het mij op dit moment onduidelijk wat het precies is, wat ik er mee kan, en waar die lange teken reeksen voor zijn.
Verder is het mij op dit moment onduidelijk wat het precies is, wat ik er mee kan, en waar die lange teken reeksen voor zijn.
0 -0
-0
Voor degenen die het script willen zien:
SQL:
Zelf gegevens van database invullen:
config.php
login_veify.php:
inc_login.php:
add_user.php:
SQL:
Code (php)
1
2
3
4
5
2
3
4
5
CREATE TABLE USERS (
user_id INT AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(20),
password VARCHAR(20)
);
user_id INT AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(20),
password VARCHAR(20)
);
Zelf gegevens van database invullen:
config.php
Code (php)
1
2
3
4
5
6
2
3
4
5
6
<?php
$host='';
$username='';
$password='';
$db='';
?>
$host='';
$username='';
$password='';
$db='';
?>
login_veify.php:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
require("config.php");
if(!empty($_POST['username']))
{
session_start();
mysql_connect($host,$username,$password);
mysql_select_db($db);
$query=mysql_query("SELECT USER_ID FROM USERS WHERE USERNAME='".$_POST['username']."' AND PASSWORD='".md5($_POST['password'])."';");
if(mysql_num_rows($query)>0)
{
$row=mysql_fetch_assoc($query);
$_SESSION['user_id']=$row['USER_ID'];
header("Location: ".$_SERVER['PHP_SELF']);
//zoals je ziet wordt alleen user_id opgeslagen. Dit uit veiligheidsoverwegingen omdat je met een relatief eenvoudige handeling bij sessie data kan komen (ook wel eens voorgekomen in de ELO van mijn school).
}
else
echo("Toegang geweigerd voor ".$_POST['username']." met wachtwoord ".$_POST['password']);
}
?>
<form method="post" action="<?php echo($_SERVER['PHP_SELF']); ?> ">
<input type="text" name="username">
<input type="password" name="password">
<input type="submit" value="Inloggen">
</form>
require("config.php");
if(!empty($_POST['username']))
{
session_start();
mysql_connect($host,$username,$password);
mysql_select_db($db);
$query=mysql_query("SELECT USER_ID FROM USERS WHERE USERNAME='".$_POST['username']."' AND PASSWORD='".md5($_POST['password'])."';");
if(mysql_num_rows($query)>0)
{
$row=mysql_fetch_assoc($query);
$_SESSION['user_id']=$row['USER_ID'];
header("Location: ".$_SERVER['PHP_SELF']);
//zoals je ziet wordt alleen user_id opgeslagen. Dit uit veiligheidsoverwegingen omdat je met een relatief eenvoudige handeling bij sessie data kan komen (ook wel eens voorgekomen in de ELO van mijn school).
}
else
echo("Toegang geweigerd voor ".$_POST['username']." met wachtwoord ".$_POST['password']);
}
?>
<form method="post" action="<?php echo($_SERVER['PHP_SELF']); ?> ">
<input type="text" name="username">
<input type="password" name="password">
<input type="submit" value="Inloggen">
</form>
inc_login.php:
Code (php)
add_user.php:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
require("config.php");
if(!empty($_POST))
{
mysql_connect($host,$username,$password) or die(mysql_error());
mysql_select_db($db) or die(mysql_error());
if($_POST['password']!=$_POST['second'])
die("De opgegeven wachtwoorden komen niet overeen");
mysql_query("INSERT INTO users (username,password) VALUES ('".$_POST['username']."','".md5($_POST['password'])."');") or die(mysql_error());
mysql_close();
}
?>
<form method="post" action="<?php echo($_SERVER['PHP_SELF']); ?>">
<table>
<tr>
<td>Gebruikersnaam</td><td><input name="username" type="text" /></td>
<td>Wachtwoord</td><td><input name="password" type="password" /></td>
<td>Bevestigen</td><td><input name="second" type="password" /></td>
</tr>
</table>
</form>
require("config.php");
if(!empty($_POST))
{
mysql_connect($host,$username,$password) or die(mysql_error());
mysql_select_db($db) or die(mysql_error());
if($_POST['password']!=$_POST['second'])
die("De opgegeven wachtwoorden komen niet overeen");
mysql_query("INSERT INTO users (username,password) VALUES ('".$_POST['username']."','".md5($_POST['password'])."');") or die(mysql_error());
mysql_close();
}
?>
<form method="post" action="<?php echo($_SERVER['PHP_SELF']); ?>">
<table>
<tr>
<td>Gebruikersnaam</td><td><input name="username" type="text" /></td>
<td>Wachtwoord</td><td><input name="password" type="password" /></td>
<td>Bevestigen</td><td><input name="second" type="password" /></td>
</tr>
</table>
</form>
0 -0
-0
Dit script is een soort installer. Als je het script op je server kwakt en het uitvoert, dan worden uit die base64 reeksen de benodigde bestanden gegenereerd en wordt de door jou ingevulde MySQL configuratie opgeslagen onder conf.php. Ik dacht dat het wel duidelijk was.
0 -0
-0
@R. Hebing:
Zou je dat dan duidelijk in de uitleg willen zetten? Dus bijv dit als uitleg:
Zou je dat dan duidelijk in de uitleg willen zetten? Dus bijv dit als uitleg:
Quote:
Een kant en klaar systeem voor PHP/MySQL authenticatie met sessions.
Zet bovenaan iedere te beveiligen pagina deze code:
Dan het volgende script naar je server uploaden, en 1 maal uitvoeren om de benodigde pagina's te genereren, zodat het inlogsysteem werkt.
Zet bovenaan iedere te beveiligen pagina deze code:
Dan het volgende script naar je server uploaden, en 1 maal uitvoeren om de benodigde pagina's te genereren, zodat het inlogsysteem werkt.
0 -0
-0
Moet er in het add_user.php form geen bevestigen knop. Volgens mij kun je nu niets invoegen?
0 -0
-0
waarom zijn die bovenste variabelen gecodeerd?
verify:
....
....
verify:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
require("config.php");
if(!empty($_POST['username']))
{
session_start();
mysql_connect($host,$username,$password);
mysql_select_db($db);
$query=mysql_query("SELECT USER_ID FROM USERS WHERE USERNAME='".$_POST['username']."' AND PASSWORD='".md5($_POST['password'])."';");
if(mysql_num_rows($query)>0)
{
$row=mysql_fetch_assoc($query);
$_SESSION['user_id']=$row['USER_ID'];
header("Location: ".$_SERVER['PHP_SELF']);
//zoals je ziet wordt alleen user_id opgeslagen. Dit uit veiligheidsoverwegingen omdat je met een relatief eenvoudige handeling bij sessie data kan komen (ook wel eens voorgekomen in de ELO van mijn school).
}
else
echo("Toegang geweigerd voor ".$_POST['username']." met wachtwoord ".$_POST['password']);
}
?>
<form method="post" action="<?php echo($_SERVER['PHP_SELF']); ?> ">
<input type="text" name="username">
<input type="password" name="password">
<input type="submit" value="Inloggen">
</form>
require("config.php");
if(!empty($_POST['username']))
{
session_start();
mysql_connect($host,$username,$password);
mysql_select_db($db);
$query=mysql_query("SELECT USER_ID FROM USERS WHERE USERNAME='".$_POST['username']."' AND PASSWORD='".md5($_POST['password'])."';");
if(mysql_num_rows($query)>0)
{
$row=mysql_fetch_assoc($query);
$_SESSION['user_id']=$row['USER_ID'];
header("Location: ".$_SERVER['PHP_SELF']);
//zoals je ziet wordt alleen user_id opgeslagen. Dit uit veiligheidsoverwegingen omdat je met een relatief eenvoudige handeling bij sessie data kan komen (ook wel eens voorgekomen in de ELO van mijn school).
}
else
echo("Toegang geweigerd voor ".$_POST['username']." met wachtwoord ".$_POST['password']);
}
?>
<form method="post" action="<?php echo($_SERVER['PHP_SELF']); ?> ">
<input type="text" name="username">
<input type="password" name="password">
<input type="submit" value="Inloggen">
</form>
....
....
0 -0
-0
legolas, doel je op dit:
Dit script is een soort installer. Als je het script op je server kwakt en het uitvoert, dan worden uit die base64 reeksen de benodigde bestanden gegenereerd en wordt de door jou ingevulde MySQL configuratie opgeslagen onder conf.php. Ik dacht dat het wel duidelijk was.
Dan snap ik nog niet waarom het gecodeerd is
Dit script is een soort installer. Als je het script op je server kwakt en het uitvoert, dan worden uit die base64 reeksen de benodigde bestanden gegenereerd en wordt de door jou ingevulde MySQL configuratie opgeslagen onder conf.php. Ik dacht dat het wel duidelijk was.
Dan snap ik nog niet waarom het gecodeerd is
0 -0
-0
ja, dat. de keuze voor codering is hier handig, ivm problemen met string handling, al zou ik nooit een dergelijke installer willen gebruiken.
0 -0
-0
Mischien is het handig om in ad_user.php er een button bij te zetten om hem te laten maken ofzo, dus een [maak] :D
en nog iets, bij maak_user.php doe je ook het wachtwoord in md5! toppie :P maare.... das past niet in de Tabel, daar heb je een max van 20 tekens... en bij het inloggen doe je het wachtwoord niet in md5... :D dus...
- of databases anders instellen en login aanpassen
- of wachtwoord niet in md5
verder moet ik hem nog testen :D
MVG, tim
en nog iets, bij maak_user.php doe je ook het wachtwoord in md5! toppie :P maare.... das past niet in de Tabel, daar heb je een max van 20 tekens... en bij het inloggen doe je het wachtwoord niet in md5... :D dus...
- of databases anders instellen en login aanpassen
- of wachtwoord niet in md5
verder moet ik hem nog testen :D
MVG, tim
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu