読者です 読者をやめる 読者になる 読者になる

小さい頃はエラ呼吸

いつのまにやら肺で呼吸をしています。


【初心者向け】PHP5とMySQLでつくるログイン機能のサンプルアプリケーション

はじめに

PHP5とMySQLでログイン機能を実現するサンプルアプリケーションを作ってみました。

PHP逆引きレシピ 第2版 (PROGRAMMER’S RECiPE)
鈴木 憲治 山田 直明 山本 義之 浅野 仁 櫻井 雄大 安藤 建一
翔泳社
売り上げランキング: 11,655

サンプルアプリケーションの概要

ログイン画面にユーザIDとパスワードを入力してログインすると、メインの画面を表示します。ログアウトのリンクをクリックすると、ログアウトします。

  • login.php
    • ログイン画面の表示と認証の機能を持ちます。
  • main.php
    • ログイン画面で認証が成功したら、この画面を表示します。ログインしたユーザの名前を表示します。
  • logout.php
    • メイン画面からログアウトのリンクがクリックされたら、ログアウトします。
データベースの構成

データベースはMySQLで、ユーザIDとパスワードを持つような以下のようなテーブル(db_user)を用意します。パスワードは暗号化(ハッシュ化)して保存するので、気持ち大きめのbyte数を確保します。
f:id:replication:20140703012402p:plain

ログイン画面(login.php)

ログイン画面(login.php)のコードを解説していきます。
1.ユーザIDとパスワードの入力チェック
ログインに失敗した場合は、$errorMessageにエラーメッセージを格納し、画面に表示しています。
2.MySQLへ接続し、db_userテーブルからパスワードを取得する。
以下の部分がMySQLへの接続を行っている箇所になります。DBサーバのアドレス、ユーザID/パスワードはお使いの環境に合わせて変更してください。

$mysqli = new mysqli(DBサーバのアドレス, ユーザID, パスワード);
if ($mysqli -> connect_errno) {
  print('<p>データベースへの接続に失敗しました。</p>' . $mysqli -> connect_error);
  exit();
} 

3.データベースに格納するパスワードは、暗号化(ハッシュ)をしておく。ログイン時には、データベースに保存されたパスワードのハッシュ値と画面から入力されたパスワードのハッシュ値が一致するかを検証します。
さくらのレンタルサーバでは、PHP5.4までしか使えないので、以下のページを参考にpassword_compatをインストールして、ハッシュを行いました。

while ($row = $result->fetch_assoc()) {
  // パスワード(暗号化済み)の取り出し
  $db_hashed_pwd = $row['password'];
} 

3.画面から入力されたパスワードをハッシュ化した値とデータベースから取得したハッシュ済みパスワードを比較します。

if (password_verify($_POST["password"], $db_hashed_pwd)) {
  // 一致
}
else {
  // 不一致
}

4.パスワードが一致した場合は、セッションハイジャック対策として、session_regenerate_id( )を使って、セッションIDを再発行してから、main.phpを表示しています。

if (password_verify($_POST["password"], $db_hashed_pwd)) {
  // 認証成功なら、セッションIDを新規に発行する
  session_regenerate_id(true);
  $_SESSION["USERID"] = $_POST["userid"];
  header("Location: main.php");
  exit;
}

セッションハイジャック と session_regenerate_id( )関数 - Shoulder.jpセッションハイジャック と session_regenerate_id( )関数 - Shoulder.jp

2014.07.02追記 Quiitaでのコメント欄での指摘を受けて、コードを書き直しました。
<?php
require 'password.php';
// セッション開始
session_start();

$db['host'] = "hogehoge.ne.jp";  // DBサーバのurl
$db['user'] = "ユーザID";
$db['pass'] = "パスワード";
$db['dbname'] = "データベース名";

// エラーメッセージの初期化
$errorMessage = "";

// ログインボタンが押された場合
if (isset($_POST["login"])) {
  // 1.ユーザIDの入力チェック
  if (empty($_POST["userid"])) {
    $errorMessage = "ユーザIDが未入力です。";
  } else if (empty($_POST["password"])) {
    $errorMessage = "パスワードが未入力です。";
  } 

  // 2.ユーザIDとパスワードが入力されていたら認証する
  if (!empty($_POST["userid"]) && !empty($_POST["password"])) {
    // mysqlへの接続
    $mysqli = new mysqli($db['host'], $db['user'], $db['pass']);
    if ($mysqli->connect_errno) {
      print('<p>データベースへの接続に失敗しました。</p>' . $mysqli->connect_error);
      exit();
    }

    // データベースの選択
    $mysqli->select_db($db['dbname']);

    // 入力値のサニタイズ
    $userid = $mysqli->real_escape_string($_POST["userid"]);

    // クエリの実行
    $query = "SELECT * FROM db_user WHERE name = '" . $userid . "'";
    $result = $mysqli->query($query);
    if (!$result) {
      print('クエリーが失敗しました。' . $mysqli->error);
      $mysqli->close();
      exit();
    }

    while ($row = $result->fetch_assoc()) {
      // パスワード(暗号化済み)の取り出し
      $db_hashed_pwd = $row['password'];
    }

    // データベースの切断
    $mysqli->close();

    // 3.画面から入力されたパスワードとデータベースから取得したパスワードのハッシュを比較します。
    //if ($_POST["password"] == $pw) {
    if (password_verify($_POST["password"], $db_hashed_pwd)) {
      // 4.認証成功なら、セッションIDを新規に発行する
      session_regenerate_id(true);
      $_SESSION["USERID"] = $_POST["userid"];
      header("Location: main.php");
      exit;
    } 
    else {
      // 認証失敗
      $errorMessage = "ユーザIDあるいはパスワードに誤りがあります。";
    } 
  } else {
    // 未入力なら何もしない
  } 
} 
 
?>
<!doctype html>
<html>
  <head>
  <meta charset="UTF-8">
  <title>サンプルアプリケーション</title>
  </head>
  <body>
  <h1>ログイン機能 サンプルアプリケーション</h1>
  <!-- $_SERVER['PHP_SELF']はXSSの危険性があるので、actionは空にしておく -->
  <!--<form id="loginForm" name="loginForm" action="<?php print($_SERVER['PHP_SELF']) ?>" method="POST">-->
  <form id="loginForm" name="loginForm" action="" method="POST">
  <fieldset>
  <legend>ログインフォーム</legend>
  <div><?php echo $errorMessage ?></div>
  <label for="userid">ユーザID</label><input type="text" id="userid" name="userid" value="<?php echo htmlspecialchars($_POST["userid"], ENT_QUOTES); ?>">
  <br>
  <label for="password">パスワード</label><input type="password" id="password" name="password" value="">
  <br>
  <input type="submit" id="login" name="login" value="ログイン">
  </fieldset>
  </form>
  </body>
</html>
ログイン後のメイン画面(main.php)

続いて、ログインに成功した場合に表示されるmain.phpです。
この画面では、はじめにログイン状態のチェックを行っています。$_SESSION["USERID"]に値が格納されているかを調べています。login.phpでログインに成功すると、$_SESSION["USERID"]にユーザIDを格納しているので、この値が入っていないという場合は、不正なアクセスとみなして、ログアウト画面を表示するようにしています。

<?php
session_start();

// ログイン状態のチェック
if (!isset($_SESSION["USERID"])) {
  header("Location: logout.php");
  exit;
}

?>

<!doctype html>
<html>
  <head>
    <meta charset="UTF-8">
    <title>サンプルアプリケーション</title>
  </head>
  <body>
  <h1>ログイン機能 サンプルアプリケーション</h1>
  <!-- ユーザIDにHTMLタグが含まれても良いようにエスケープする -->
  <p>ようこそ<?=htmlspecialchars($_SESSION["USERID"], ENT_QUOTES); ?>さん</p>
  <ul>
  <li><a href="logout.php">ログアウト</a></li>
  </ul>
  </body>
</html>
ログアウト画面(logout.php)

ログアウト画面では、セッション情報の破棄を行います。$_SESSION["USERID"]に値が格納されているかどうかで、意図的にログアウトしたのか、セッションタイムアウトでログアウトになったのかを判断して、メッセージを出力しています。
PHPのログアウト処理に関しては、以下のサイトが参考になります。



    PHP session 使用時のログアウト処理 - JE no hitori chat

PHP session 使用時のログアウト処理 - JE no hitori chat

<?php
session_start();

if (isset($_SESSION["USERID"])) {
  $errorMessage = "ログアウトしました。";
}
else {
  $errorMessage = "セッションがタイムアウトしました。";
}
// セッション変数のクリア
$_SESSION = array();
// クッキーの破棄は不要
//if (ini_get("session.use_cookies")) {
//    $params = session_get_cookie_params();
//    setcookie(session_name(), '', time() - 42000,
//        $params["path"], $params["domain"],
//        $params["secure"], $params["httponly"]
//    );
//}
// セッションクリア
@session_destroy();
?>

<!doctype html>
<html>
  <head>
    <meta charset="UTF-8">
    <title>サンプルアプリケーション</title>
  </head>
  <body>
  <h1>ログイン機能 サンプルアプリケーション</h1>
  <div><?php echo $errorMessage; ?></div>
  <ul>
  <li><a href="login.php">ログイン画面に戻る</a></li>
  </ul>
  </body>
</html>
参考サイト

PHPによるログイン機能のサンプルコードは、以下のサイトが参考になります。

WebTecNote - [php] パスワード認証ログインシステムのサンプルWebTecNote - [php] パスワード認証ログインシステムのサンプル
ログイン画面を作る | PHP勉強しるよログイン画面を作る | PHP勉強しるよ