www.php-einfach.de/tuts_mysql_login.php

Loginscript mit MySQL und Sessions

- Jede Seite des geschützen Bereiches müssen mit session_start(); beginnen
- Jede Seite des geschützen Bereiches wird über eine If-Anweisung geschützt

Datenbankname: hompeage
Tabellenname: login

Diese sollte wie folgt aufgebaut sein:
id, int, 8, unsigned, not null, , auto_increment, primary, ,
username, varchar, 150, not null, , , , ,
passwort, varchar, 32, not null, , , , ,

Am besten setzt ihr schon mal folgende Werte ein:
(id wird automatisch generiert)
name:test
passwort:098f6bcd4621d373cade4e832627b4f6 (ist md5-Hash von "test")

Dieses Script besteht aus folgenden 5 PHP-Seiten:
NameAufgabe
eintragen.htmlFormular zum erstellen eines neuen Bernutzernamen
eintragen.phpSpeichert den neuen Benutzernamen
login.htmlLoginformular
login.phpüberraschenderweise ist das der Login
geheim.phpBeispieldatei für geschützten Bereich

- Ich hätte alles in eine PHP-Seite schreiben können, doch ist das extrem unübersichtlich und ineffektiv.

eintragen.html

<form action="eintragen.php" method="post">
Dein Username:
<input type="text" size="24" maxlength="50" name="username">

Dein Passwort:
<input type="password" size="24" maxlength="50" name="passwort">

Passwort wiederholen:
<input type="password" size="24" maxlength="50" name="passwort2">

<input type="submit" value="Abschicken">
</form>


eintragen.php

<?php
$verbindung = mysql_connect("localhost", "Benutzername" , "Passwort") or die("Verbindung zur Datenbank konnte nicht hergestellt werden");

mysql_select_db("homepage") or die ("Datenbank konnte nicht ausgewählt werden");

$username = $_POST["username"];
$passwort = $_POST["passwort"];
$passwort2 = $_POST["passwort2"];

if($passwort != $passwort2 OR $username == "" OR $passwort == "")
    {
    echo "Eingabefehler. Bitte alle Felder korekt ausfüllen. <a href=\"eintragen.html\">Zurück</a>";
    exit;
    }
$passwort = md5($passwort);

$result = mysql_query("SELECT id FROM login WHERE username LIKE '$username'");
$menge = mysql_num_rows($result);

if($menge == 0)
    {
    $eintrag = "INSERT INTO login (username, passwort) VALUES ('$username', '$passwort')";
    $eintragen = mysql_query($eintrag);

    if($eintragen == true)
        {
        echo "Benutzername <b>$username</b> wurde erstellt. <a href=\"login.html\">Login</a>";
        }
    else
        {
        echo "Fehler beim Speichern des Benutzernames. <a href=\"eintragen.html\">Zurück</a>";
        }
    }
else
    {
    echo "Benutzername schon vorhanden. <a href=\"eintragen.html\">Zurück</a>";
    }
?>


Wieder bauen wir zuerst eine Verbindung auf und Fragen die Werte aus dem Formular ab. Danach überprüfen wir, ob alle Felder ausgefüllt wurden.
Dies heißt, ob ein Username und ein Passwort angegeben wurde, und ob beide Passwörter gleich sind.
Falls nicht, wird der Script-Ablauf per exit; unterbrochen.

$result = mysql_query("SELECT id FROM login WHERE username LIKE '$username'");
$menge = mysql_num_rows($result);

Hiermit fragen wir ab, wie viele Datensätze er findet, mit dem angegebenden Username. Somit kann man gewährleisten, dass jeder Benutzername einzigartig ist.

Falls es den Benutzernamen noch nicht gibt, wird ein neuer Datensatz in die Tabelle eingetragen.

Danach überprüfen wir ob das Speichern ging, dies geht mit einer if-Anweisung ob $eintragen == true ist.


login.html

Also hier braucht man ein ganz normales Formular, mit Benutzername und Passwort: <form action="login.php" method="post">
Dein Username:
<input type="text" size="24" maxlength="50" name="username">

Dein Passwort:
<input type="password" size="24" maxlength="50" name="password">

<input type="submit" value="Login">
</form>


login.php

<?php
session_start();
?>

<?php
$verbindung = mysql_connect("localhost", "BenutzerName" , "DeinPasswort") or die ("Verbindung zur Datenbank konnte nicht hergestellt werden");
mysql_select_db("homepage") or die ("Datenbank konnte nicht ausgewählt werden");

$username = $_POST["username"];
$passwort = md5($_POST["password"]);

$abfrage = "SELECT username, passwort FROM login WHERE username LIKE '$username' LIMIT 1";
$ergebnis = mysql_query($abfrage);
$row = mysql_fetch_object($ergebnis);

if($row->passwort == $passwort)
    {
    $_SESSION["username"] = $username;
    echo "Login erfolgreich. <br> <a href=\"geheim.php\">Geschützer Bereich</a>";
    }
else
    {
    echo "Benutzername und/oder Passwort waren falsch. <a href=\"login.html\">Login</a>";
    }

?>


Wie schon bekannt, leitet wir hiermit die Session Funktion ein.

<?php
session_start();
?>

Danach erstellen wir eine Verbindung zu Datenbank und rufen die Werte aus dem Formular ab.
Danach erstellen wir einen Datenbankabfrage, mit dem Kriterium, dass er nur die Spalte mit dem Username anzeigen soll.
Wir müssen aber Aufpassen, dass wir keine 2 gleichen Usernames haben. Um uns vor Fehlern zu schützen, steht dort auch noch ein LIMIT 1.

Zum Schluss vergleichen wir noch das verschlüsselte Passwort aus der Datenbank mit dem aus dem Loginformular. Dies haben wir schon bei der Abfrage verschlüsselt.

Wichtig: Bitte keine Abfrage machen, wo als WHERE-Kriterium das Passwort angegeben wird. Denn so eine Passwortabfrage kann man sehr leicht knacken.


geheim.php

So jetzt kommen wir zum geschützen Bereich, dieser hat sich eigentlich nicht verändert.

<?php
session_start();
?>


<?php
if(!isset($_SESSION["username"]))
{
echo "Bitte erst <a href=\"login.html\">einloggen</a>";
exit;
}
?>


Die Befehlen sollte alle bekannt sein. Wir überprüfen einfach, ob die Session-Variable username bereits registiert wurde.

Autor Andavos & Urza

Quelle: www.php-einfach.de/tuts_mysql_login.php