Codeschnipsel

PHP Login Script mit Prepared-Statements, MySQLi und HTML5

Zurück zur Übersicht
In diesem Tutorial zeige ich euch, wie ihr einen modernen Login erstellt, auf Basis von Sessions, HTML5 und Prepared-Statements für gute Sicherheit. Ich übernehme allerdings keine Haftung für Schäden, Fehlfunktionen oder dergleichen!

Was wird benötigt?
- PHP 5.2.x fähiger Web-Server (getestet mit PHP 5.3, PHP 5.4, PHP 5.5, PHP 5.6)
- MySQLi 5.1 Datenbank (getestet mit MySQL 5.5 und MySQL 5.6)


Schritt 1/4 - Datenbank einrichten
Führe bitte folgenden SQL-Befehl in einer bereits existierenden Datenbank aus, um eine neue Tabelle namens user anzulegen.

CREATE TABLE `user` (
`user_id` INT( 10 ) NOT NULL AUTO_INCREMENT PRIMARY KEY ,
`user_name` VARCHAR( 100 ) NOT NULL ,
`user_email` VARCHAR( 255 ) NOT NULL ,
`user_password` VARCHAR( 32 ) NOT NULL ,
UNIQUE (`user_email`)
);


INSERT INTO `user` (
`user_id` ,
`user_name` ,
`user_email` ,
`user_password`
)VALUES(
NULL , 'Max Mustermann', '[email protected]', '098f6bcd4621d373cade4e832627b4f6'
);


Nun habt ihr eine neue Tabelle die den Namen user trägt. Ein Beispieldatensatz ist ebenfalls schon eingetragen, der beliebig geändert werden kann. Das Kennwort wäre test.

Schritt 2/4 - Die config.php
In der config.php tragen wir nun die Zugangsdaten zur Datenbank ein. In dieser Datei regeln wir die Datenbank-Verbindung und die Fehlerbehandlung, falls welche auftreten sollten. Die Datei sieht wie folgt aus:

<?php
/*
 *    Autor        : Dennis1993
 *    Copyright    : (c) 2011 by Dennis1993
 */
defined('SECURE') or die('Der direkte Zugriff auf diese Datei ist nicht erlaubt!');


/**
 *    DB-Zugangsdaten
 */
$config['sql_hostname'] = 'localhost';    //MySQL-Server
$config['sql_username'] = 'root';        //Benutzername
$config['sql_password'] = 'hallo';        //Kennwort
$config['sql_database'] = 'login';        //Datenbank


/**
 *    Fehlerbehandlung
 */
error_reporting(E_ALL);
ini_set('display_errors'false);


/**
 *    Verbindungsaufbau
 */
$SQL = new MySQLi($config['sql_hostname'], $config['sql_username'], $config['sql_password'], $config['sql_database']);

if(mysqli_connect_errno() != || !$SQL->set_charset('utf8'))
{
    die('<strong>ERROR:</strong> Es konnte keine Verbindung mit dem Datenbank-Server hergestellt werden!');
}

?>



Schritt 3/4 - Die login.php
In dieser Datei befindet sich die Logik des Systems, dass heißt, hierüber steuert das Script, ob der Benutzer die richtigen Daten angegeben hat und prüft diese in der Datenbank ab. Ist alles ok, setzt das Script eine Session und leitet den Benutzer auf die intern.php weiter. Außerdem wird hier auch der Logout geregelt, den man erst nach dem erfolgreichen Login durchführen kann.

<?php
/*
 *    Autor        : Dennis1993
 *    Copyright    : (c) 2011 by Dennis1993
 */
session_start();
define('SECURE'true);
require_once('config.php');


/**
 *    Abmeldevorgang
 */
if(isset($_GET['logout']))
{
    if(isset($_SESSION['user_id']))
    {
        $_SESSION = array();
        session_destroy();
    }

    header('location: login.php');
    exit();
}


/**
 *    Anmeldevorgang
 */
if(isset($_POST['send']))
{
    $user_email trim(htmlspecialchars($_POST['user_email']));
    $user_password trim(htmlspecialchars($_POST['user_password']));

    //Benutzereingaben validieren
    if(filter_var($user_emailFILTER_VALIDATE_EMAIL) && !empty($user_password))
    {
        $query $SQL->prepare('SELECT `user_id` FROM `user` WHERE `user_email` = ? AND `user_password` = ?');
        $query->bind_param('ss'$_POST['user_email'], md5($_POST['user_password']));
        $query->execute();
        $query->store_result();
        $query->bind_result($user_id);

        //Sind Benutzerdaten vorhanden und korrekt?
        if($query->num_rows == 1)
        {
            $query->fetch();
            $_SESSION['user_id'] = $user_id;
            header('location: intern.php');
            exit();
        }
        else
        {
            $error 'Ihre Anmeldedaten sind nicht korrekt. Bitte wiederholen Sie Ihre Eingabe.';
        }
    }
    else
    {
        $error 'Bitte f&uuml;llen Sie alle Felder korrekt aus.';
    }
}
else
{
    $error NULL;
    $user_email NULL;
}

?>
<!DOCTYPE HTML>

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Login</title>
</head>

<body>
<?php echo $error?>
<form action="login.php" method="post">
<table cellpadding="1" cellspacing="4">
    <tr>
        <td><strong>E-Mail-Adresse:</strong></td>
        <td><input type="email" name="user_email" value="<?php echo $user_email?>" required="required" placeholder="E-Mail-Adresse" maxlength="255" /></td>
    </tr>
    <tr>
        <td><strong>Passwort:</strong></td>
        <td><input type="password" name="user_password" required="required" placeholder="Passwort" maxlength="50" /></td>
    </tr>
    <tr>
        <td colspan="2"><input type="submit" name="send" value="Login" /></td>
    </tr>
</table>
</form>

</body>
</html>


Schritt 4/4 - Die intern.php

Diese Datei hat im Grunde kaum eine Wirkung. Sie soll nur zeigen, wie man prüfen kann, ob ein Benutzer angemeldet ist oder nicht. Ferner kann man sich hier noch abmelden. Die Datei sieht wie folgt aus:

<?php
/*
 *    Autor        : Dennis1993
 *    Copyright    : (c) 2011 by Dennis1993
 */
session_start();
if(!isset($_SESSION['user_id']))
{
    die('Sie sind nicht angemeldet! <a href="login.php">[Login]</a>');
}
?>
<!DOCTYPE HTML>

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Login</title>
</head>

<body>
<p>Willkommen im internen Bereich! Sie k&ouml;nnen sich hier wieder abmelden. <a href="login.php?logout">[Abmelden]</a></p>
</body>
</html>



Sollte jemand einen Fehler finden, einen Verbesserungsvorschlag oder eine Frage haben, würde ich mich über einen Post freuen.

Das Script kann man nun nutzen. Die Beispieldaten lauten:
E-Mail-Adresse: [email protected]
Passwort: test

Viel Spaß damit!
Dennis1993

Kommentare

Autor

Zurück zur Übersicht
Autor:
Zurück: URLs im Text identifizieren