Рассмотрим систему авторизации пользователей (регистрация, login/logout, доступ к закрытым страничкам, поддтвеждение по e-mail).
Нам понадобятся: вебсервер, PHP, MySQL. Предполагается, что вы с этим всем уже знакомы на определенном уровне.
Для начала создадим в базу данных, допустим, "authorize" и таблицу "users" в ней. Работать с БД MySQL очень удобно с помощью инструмента PhpMyAdmin, который можно скачать здесь.
Итак, таблица "users":
| Поле |
Тип |
По умолчанию |
Дополнительно |
| id |
mediumint(9) |
|
auto_increment |
| login |
varchar(32) |
|
index unique |
| pass |
varchar(32) |
|
|
| email |
varchar(64) |
|
index unique |
| status |
tinyint(2) |
0 |
|
| timestamp |
int(10) |
|
|
Теперь сделаем страничку регистрации и скрипт, заносящий данные о юзере в базу. Нам понадобится html-файл с такой формой (естественно, если хотите иметь больше информации о юзере, можно добавить соответствующие поля, изменить скрипт и таблицу в БД):
<form action="registration.php" method="post"> <table> <tr> <td>Логин* :</td> <td><input type="text" name="rLogin" value="" size="25" maxlength="30" /></td> </tr> <tr> <td>Пароль* :</td> <td><input type="password" name="rPass" value="" size="25" maxlength="30" /></td> </tr> <tr> <td>Повторите пароль* :</td> <td><input type="password" name="rPass2" value="" size="25" maxlength="30" /></td> </tr> <tr> <td>E-mail* :</td> <td><input type="text" name="rEmail" value="" size="25" maxlength="30" /></td> </tr> <tr> <td></td> <td><input type="reset" name="reset" value="Очистить" /> <input type="submit" name="ok" value="Готово" /></td> </tr> </table> </form>
На этом этапе стоит упомянуть о том, что полезно в таких случаях кроме проверок правильности введенных данных на сервере, делать такую проверку средствами Javascript. Например, если юзер ввел повтор пароля неверно, подсвечивать красным соответвующую строку. Это не сложно, поэтому расскажем об этом в следующий раз.
Теперь создадим скрипт "registration.php", который и будет обрабатывать форму регистрации:
\n"); // Логин может состоять из букв, цифр и подчеркивания }elseif (!preg_match("/^\w{3,}$/", $rLogin)) { die("В поле 'Логин' введены недопустимые символы
\n"); } if ($rEmail == '') { die("Поле 'E-mail' не заполнено
\n"); // Проверяем e-mail на корректность }elseif (!preg_match("/^[a-zA-Z0-9_\.\-]+@([a-zA-Z0-9\-]+\.)+[a-zA-Z]{2,6}$/", $rEmail)) { die("Указанный 'E-mail' имеет недопустимый формат
\n"); } if ($rPass == '' || $rPass2 == '') { die("Поле 'Пароль' не заполнено
\n"); }elseif($rPass !== $rPass2) { die("Поля 'Пароль' и 'Повтор пароля' не совпадают
\n"); // Пароль может состоять из букв, цифр и подчеркивания }elseif(!preg_match("/^\w{3,}$/", $rPass)) { die("В поле 'Пароль' введены недопустимые символы
\n"); } // В базе данных у нас будет храниться md5-хеш пароля $mdPassword = md5($rPass); // А также временная метка (зачем - позже) $time = time(); // Устанавливаем соединение с бд(не забудьте подставить ваши значения сервер-логин-пароль) $link = mysql_connect('localhost', $dbuser, $dbpass); if (!$link) { die("Не могу соединиться с базой данных"); }else { // Выбираем базу данных mysql_select_db('authorize', $link); // Записываем в базу (не используем addslashes - экранировать нечего) mysql_query("INSERT INTO users (login, pass, email, timestamp) VALUES ('$rLogin','$mdPassword','$rEmail',$time)",$link); if (mysql_error($link) != "") { die("Пользователь с таким логином уже существует, выберите другой
\n"); } echo "Юзер добавлен
\n"; mysql_close($link); } } ?>
Не стоит забывать о том, что по Сети лазит множество ботов и от них нужно как-то защищаться, иначе ваша система долго не протянет. Для этого на странице регистрации стоит прицепить какую-нибудь каптчу.
Теперь мы должны выслать юзеру на указанный e-mail письмо со ссылкой для подтверждения регистрации. Для этого вместо строчки echo "Юзер добавлен<br />\n"; вставим такой кусок кода:
// Получаем Id, под которым юзер добавился в базу $id = mysql_result(mysql_query("SELECT LAST_INSERT_ID()", $link), 0); // Составляем "keystring" для активации $key = md5(substr($rEmail, 0 ,2).$id.substr($rLogin, 0 ,2)); $date = date("d.m.Y",$time); // Компонуем письмо $title = 'Потвеждение регистрации на сайте Somwhere.net'; $headers = "Content-type: text/plain; charset=windows-1251\r\n"; $headers .= "From: Администрация Somwhere.net \r\n"; $subject = '=?koi8-r?B?'.base64_encode(convert_cyr_string($title, "w","k")).'?='; $letter = <<< LTR Здравствуйте! бла-бла Ваши регистрационные данные: логин: $rLogin пароль: $rPass Для активации аккаунта вам следует пройти по ссылке: http://somewhere.net/activation.php?login=$rLogin&key=$key Данная ссылка будет доступна в течении 5 дней. $date LTR; // Отправляем письмо if (!mail($rEmail, $subject, $letter, $headers)) { // Если письмо не отправилось, удаляем юзера из базы mysql_query("DELETE FROM users WHERE login='".$login."' LIMIT 1", $link); echo 'Произошла ошибка при отправке письма. Попробуйте зарегистрироваться еще раз.'; }else { echo 'Вы успешно зарегистрировались в системе. На указанный вами e-mail было отправлено письмо со ссылкой для активации аккаунта. У вас 5 дней!'; }
Надеюсь, тут все понятно: сначала делаем всевозможные проверки на корректность введенных данных, потом записываем в базу данных с текущей временной меткой и отправляем письмо для подтверждения регистрации.
Кстати о письме: правила составления ключевой строки "keystring" никем не писаны и каждый может придумать что-нибудь свое. Например, при каждой регистрации можно генерировать случайное слово и, записав в базу, на его основе генерить "keystring".
Теперь у нас в таблице "users" должна быть строка вида:
1 login 76d80224611fc919a5d54f0ff9fba446 eqw@asd.ru 0 1197730343
Теперь создадим скрипт, активирующий пользователей. Система его будет такова:
- • Пользователь приходит по ссылке с GET-данными "login" и "key"
- • Берем из базы id, login, e-mail, status и timestamp юзера (если юзер есть). Проверяем статус (активирован уже или нет). Проверяем разницу текущей временной метки и метки из базы, если больше 5*24*60*60 - до свидания
- • Составляем новую "keystring" по тем же правилам, что и старую. Сравниваем. Не равны - до свидания
- • Если ключевые строки равны - апдейтим статус до 1.
А код таков:
5*24*60*60) { mysql_query("DELETE FROM users WHERE login='$login' LIMIT 1", $link); mysql_close($link); die('Срок активации истёк! Регистрируйтесь заново.'); } $key1 = md5(substr($user[1], 0 ,2).$user[0].substr($login, 0 ,2)); // Поверяем "keystring" if ($key1 != $key) { mysql_close($link); die('Неправильная контрольная сумма!'); } // Если все проверки пройдены - активируем логин! mysql_query("UPDATE users SET status = 1 WHERE login='$login'", $link); mysql_close($link); } } ?>
Так, с регистрацией мы покончили, теперь сделаем форму для авторизации, например, такую:
<form method="post" action="login.php"> <table> <tr> <td>Логин</td> <td><input type="text" name="login"></td> </tr> <tr> <td>Пароль</td> <td><input type="password" name="password"></td> </tr> <tr> <td colspan="2"><input type="submit" value="Войти"></td> </tr> </table> </form>
Вставляйте эту форму в любое место страницы, как того требует дизайн. Обработчиком формы будет у нас файл "login.php" такого вида:
Напишем сразу скрипт "logout.php", работающий как "выход из системы":
Ну вот, юзер авторизован. Осталась малость:
- • В начале каждого документа стартовать сессию функцией session_start()
- • Проводить проверку на присутствие в массиве $_SESSION элемента user. На основе нее выдавать "секретный" документ или общий.
- • Вместо формы для авторизации распечатывать приветствие и ссылку на "logout.php"
Вот простейший пример документа:
\n"; $auth .= "Выйти"; $docum = "Эта информация только для зарегистрированных"; }else { $auth = <<< AUTH AUTH; $docum = "Эта общая информация"; } ?> <html> <head> </head> <body> <hr /> </body> </html>
Ну вот вроде и все, о чем я хотел поведать. Надеюсь этот бред кому-нибудь будет полезен :)
В обсуждении и разборе моей давней статьи о системе авторизации на PHP и MySQL, кто-то интересовался как сделать опцию "Запомнить" и автоматический вход. Это довольно просто, но так как есть желающие - нужно подробно описать. Я не буду повторять предыдущую статью, а буду на нее ссылаться.
Итак, в форме авторизации добавляем чекбокс для запоминания:
<input type="checkbox" name="remember">
Теперь смотрим наш обработчик этой формы - скрипт "login.php". Сначала рассмотрим т.н. первую авторизацию — при удачной авторизации и если отмечена опция "запомнить", пишем в cookie браузера специальную строку token. Эти строки нужно добавить после открытия сессии в файле "login.php":
$token = md5(time().$login); if ($_POST['remember']) { setcookie('token', $token, time() + 60 * 60 * 24 * 14); }
Сразу после этого, нужно записать ту же строку token, в базу данных, в строку для залогинившегося юзера. Впоследствии мы будем искать по этой строке (когда она придет из куки) нужного пользователя.
mysql_query("UPDATE users SET token='$token' WHERE login='$login'");
Ну вот, теперь остался последний шаг — авторизовать посетителя автоматически при его заходе на сайт. Для этого, после старта сессии, в каждом документе нужно сделать такую проверку:
if (isset($_COOKIE['token']) && !isset($_SESSION['user'])) { $token = htmlspecialchars($_COOKIE['token']); // на всякий сл. $res = mysql_query("SELECT login FROM users WHERE token='$token'", $link); if (mysql_num_rows($res) < 1) { setcookie('token', ''); }else { $_SESSION['user'] = mysql_result($res, 0); } }
: Здесь мы смотрим — если юзер еще не залогинен и пришла нужна кука, ищем запись в базе данных соответствующую данной куке, если запись есть — авторизуем посетителя.
Ну и последний штрих: в скрипте "logout.php", при удалении из сессии пользователя, удаляем его куку:
Вот и все. В прикрепленном архиве можете взглянуть overall на все исходники. И еще напомню: эти скрипты претендуют скорее на звание обучащих, чем на готовое решение. Поэтому не ленитесь, читайте и разбирайтесь. Вопросы можно в каменты.
| 