PHP-Einfach.de
  • PHP Tutorial
  • MySQL Tutorial
  • Für Fortgeschrittene
  • Webhosting
  • Forum

Codeschnipsel

PHP Login Script mit Prepared-Statements, MySQLi und HTML5

Zurück zur Übersicht
In diesem Tutorial zeige ich euch, wie ihr einen modernen Login erstellt, auf Basis von Sessions, HTML5 und Prepared-Statements für gute Sicherheit. Ich übernehme allerdings keine Haftung für Schäden, Fehlfunktionen oder dergleichen!

Was wird benötigt?
- PHP 5.2.x fähiger Web-Server (getestet mit PHP 5.3, PHP 5.4, PHP 5.5, PHP 5.6)
- MySQLi 5.1 Datenbank (getestet mit MySQL 5.5 und MySQL 5.6)


Schritt 1/4 - Datenbank einrichten
Führe bitte folgenden SQL-Befehl in einer bereits existierenden Datenbank aus, um eine neue Tabelle namens user anzulegen.

CREATE TABLE `user` (
`user_id` INT( 10 ) NOT NULL AUTO_INCREMENT PRIMARY KEY ,
`user_name` VARCHAR( 100 ) NOT NULL ,
`user_email` VARCHAR( 255 ) NOT NULL ,
`user_password` VARCHAR( 32 ) NOT NULL ,
UNIQUE (`user_email`)
);


INSERT INTO `user` (
`user_id` ,
`user_name` ,
`user_email` ,
`user_password`
)VALUES(
NULL , 'Max Mustermann', '[email protected]', '098f6bcd4621d373cade4e832627b4f6'
);


Nun habt ihr eine neue Tabelle die den Namen user trägt. Ein Beispieldatensatz ist ebenfalls schon eingetragen, der beliebig geändert werden kann. Das Kennwort wäre test.

Schritt 2/4 - Die config.php
In der config.php tragen wir nun die Zugangsdaten zur Datenbank ein. In dieser Datei regeln wir die Datenbank-Verbindung und die Fehlerbehandlung, falls welche auftreten sollten. Die Datei sieht wie folgt aus:

<?php
/*
 *    Autor        : Dennis1993
 *    Copyright    : (c) 2011 by Dennis1993
 */
defined('SECURE') or die('Der direkte Zugriff auf diese Datei ist nicht erlaubt!');


/**
 *    DB-Zugangsdaten
 */
$config['sql_hostname'] = 'localhost';    //MySQL-Server
$config['sql_username'] = 'root';        //Benutzername
$config['sql_password'] = 'hallo';        //Kennwort
$config['sql_database'] = 'login';        //Datenbank


/**
 *    Fehlerbehandlung
 */
error_reporting(E_ALL);
ini_set('display_errors', false);


/**
 *    Verbindungsaufbau
 */
$SQL = new MySQLi($config['sql_hostname'], $config['sql_username'], $config['sql_password'], $config['sql_database']);

if(
mysqli_connect_errno() != 0 || !$SQL->set_charset('utf8'))
{
    die(
'<strong>ERROR:</strong> Es konnte keine Verbindung mit dem Datenbank-Server hergestellt werden!');
}

?>



Schritt 3/4 - Die login.php
In dieser Datei befindet sich die Logik des Systems, dass heißt, hierüber steuert das Script, ob der Benutzer die richtigen Daten angegeben hat und prüft diese in der Datenbank ab. Ist alles ok, setzt das Script eine Session und leitet den Benutzer auf die intern.php weiter. Außerdem wird hier auch der Logout geregelt, den man erst nach dem erfolgreichen Login durchführen kann.

<?php
/*
 *    Autor        : Dennis1993
 *    Copyright    : (c) 2011 by Dennis1993
 */
session_start();
define('SECURE', true);
require_once(
'config.php');


/**
 *    Abmeldevorgang
 */
if(isset($_GET['logout']))
{
    if(isset(
$_SESSION['user_id']))
    {
        
$_SESSION = array();
        
session_destroy();
    }

    
header('location: login.php');
    exit();
}


/**
 *    Anmeldevorgang
 */
if(isset($_POST['send']))
{
    
$user_email = trim(htmlspecialchars($_POST['user_email']));
    
$user_password = trim(htmlspecialchars($_POST['user_password']));

    
//Benutzereingaben validieren
    
if(filter_var($user_email, FILTER_VALIDATE_EMAIL) && !empty($user_password))
    {
        
$query = $SQL->prepare('SELECT `user_id` FROM `user` WHERE `user_email` = ? AND `user_password` = ?');
        
$query->bind_param('ss', $_POST['user_email'], md5($_POST['user_password']));
        
$query->execute();
        
$query->store_result();
        
$query->bind_result($user_id);

        
//Sind Benutzerdaten vorhanden und korrekt?
        
if($query->num_rows == 1)
        {
            
$query->fetch();
            
$_SESSION['user_id'] = $user_id;
            
header('location: intern.php');
            exit();
        }
        else
        {
            
$error = 'Ihre Anmeldedaten sind nicht korrekt. Bitte wiederholen Sie Ihre Eingabe.';
        }
    }
    else
    {
        
$error = 'Bitte f&uuml;llen Sie alle Felder korrekt aus.';
    }
}
else
{
    
$error = NULL;
    
$user_email = NULL;
}

?>
<!DOCTYPE HTML>

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Login</title>
</head>

<body>
<?php echo $error; ?>
<form action="login.php" method="post">
<table cellpadding="1" cellspacing="4">
    <tr>
        <td><strong>E-Mail-Adresse:</strong></td>
        <td><input type="email" name="user_email" value="<?php echo $user_email; ?>" required="required" placeholder="E-Mail-Adresse" maxlength="255" /></td>
    </tr>
    <tr>
        <td><strong>Passwort:</strong></td>
        <td><input type="password" name="user_password" required="required" placeholder="Passwort" maxlength="50" /></td>
    </tr>
    <tr>
        <td colspan="2"><input type="submit" name="send" value="Login" /></td>
    </tr>
</table>
</form>

</body>
</html>


Schritt 4/4 - Die intern.php

Diese Datei hat im Grunde kaum eine Wirkung. Sie soll nur zeigen, wie man prüfen kann, ob ein Benutzer angemeldet ist oder nicht. Ferner kann man sich hier noch abmelden. Die Datei sieht wie folgt aus:

<?php
/*
 *    Autor        : Dennis1993
 *    Copyright    : (c) 2011 by Dennis1993
 */
session_start();
if(!isset(
$_SESSION['user_id']))
{
    die(
'Sie sind nicht angemeldet! <a href="login.php">[Login]</a>');
}
?>
<!DOCTYPE HTML>

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Login</title>
</head>

<body>
<p>Willkommen im internen Bereich! Sie k&ouml;nnen sich hier wieder abmelden. <a href="login.php?logout">[Abmelden]</a></p>
</body>
</html>



Sollte jemand einen Fehler finden, einen Verbesserungsvorschlag oder eine Frage haben, würde ich mich über einen Post freuen.

Das Script kann man nun nutzen. Die Beispieldaten lauten:
E-Mail-Adresse: [email protected]
Passwort: test

Viel Spaß damit!
Dennis1993

Kommentare

Autor

Zurück zur Übersicht
Autor: Nils Reimers
Zurück: URLs im Text identifizieren

Für Fortgeschrittene

  • Objektorientierte Programmierung
  • PHP Sicherheit
  • Script-Beispiele
  • Codeschnipsel
  • Stellenmarkt
Mit freundlicher Unterstützung von:
  • Punkt191 Werbeagentur
  • CasinoAndy Finland
  • Casinoohnelizenz.info
  • Cryptocasinomaster.com
  • CasinoHEX.at
  • inkedin.com

Hoster – Geringste Ausfallzeit

  1. webgo Ø 1 Min.
  2. Linevast Ø 2 Min.
  3. netcup Ø 3 Min.
  4. All-Inkl.com Ø 6 Min.
  5. checkdomain Ø 8 Min.
  6. dogado Ø 17 Min.
  7. bplaced Ø 17 Min.
  8. Contabo Ø 25 Min.
  9. Hetzner Ø 49 Min.
  10. ONE.com Ø 62 Min.
» Mehr erfahren

Impressum | Datenschutz | Auf PHP-Einfach.de werben

© PHP-Einfach.de 2003 - 2023

Cookie-Zustimmung verwalten
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt. Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Optionen verwalten Dienste verwalten Anbieter verwalten Lese mehr über diese Zwecke
Einstellungen ansehen
{title} {title} {title}