はじめに
以前作成した、PHP5とMySQLでログイン機能を実現するサンプルアプリケーションをプリペアードステートメントを使ったものに書き直してみました。
翔泳社
売り上げランキング: 11,655
サンプルアプリケーションの概要
ログイン画面にユーザIDとパスワードを入力してログインすると、メインの画面を表示します。ログアウトのリンクをクリックすると、ログアウトします。
- login.php
- ログイン画面の表示と認証の機能を持ちます。
- main.php
- ログイン画面で認証が成功したら、この画面を表示します。ログインしたユーザの名前を表示します。
- logout.php
- メイン画面からログアウトのリンクがクリックされたら、ログアウトします。
データベースの構成
データベースはMySQLで、ユーザIDとパスワードを持つような以下のようなテーブル(db_user)を用意します。パスワードは暗号化(ハッシュ化)して保存するので、気持ち大きめのbyte数を確保します。
ログイン画面(login.php)
ログイン画面(login.php)のコードを解説していきます。
1.ユーザIDとパスワードの入力チェック
ログインに失敗した場合は、$errorMessageにエラーメッセージを格納し、画面に表示しています。
2.MySQLへ接続し、db_userテーブルからパスワードを取得する。
以下の部分がMySQLへの接続を行っている箇所になります。DBサーバのアドレス、ユーザID/パスワードはお使いの環境に合わせて変更してください。
$mysqli = new mysqli(DBサーバのアドレス, ユーザID, パスワード); if ($mysqli -> connect_errno) { print('<p>データベースへの接続に失敗しました。</p>' . $mysqli -> connect_error); exit(); }
3.データベースに格納するパスワードは、暗号化(ハッシュ)をしておく。ログイン時には、データベースに保存されたパスワードのハッシュ値と画面から入力されたパスワードのハッシュ値が一致するかを検証します。
さくらのレンタルサーバでは、PHP5.4までしか使えないので、以下のページを参考にpassword_compatをインストールして、ハッシュを行いました。
// SQLの設定(プリペアードステートメント) $stmt = $mysqli -> prepare("SELECT * FROM db_user WHERE name = ?;"); if ($stmt) { // 入力値のエスケープ $userid = $mysqli -> real_escape_string($_POST["userid"]); // バインド変数を置換する $stmt -> bind_param('s', $userid); // プリペアードステートメントの実行 if (!$stmt -> execute()) { print('プリペアードステートメントの実行に失敗しました。' . $stmt -> error); $stmt -> close(); $mysqli -> close(); exit(); } // 結果をバッファに保存 $stmt -> store_result(); // 結果を変数にバインドする $stmt -> bind_result($db_userId, $db_userName, $db_hashed_pwd); // データフェッチ while (mysqli_stmt_fetch($stmt)) { // NOP } // プリペアードステートメントのクローズ $stmt -> close(); }
3.画面から入力されたパスワードをハッシュ化した値とデータベースから取得したハッシュ済みパスワードを比較します。
if (password_verify($_POST["password"], $db_hashed_pwd)) { // 一致 } else { // 不一致 }
4.パスワードが一致した場合は、セッションハイジャック対策として、session_regenerate_id( )を使って、セッションIDを再発行してから、main.phpを表示しています。
if (password_verify($_POST["password"], $db_hashed_pwd)) { // 認証成功なら、セッションIDを新規に発行する session_regenerate_id(true); $_SESSION["USERID"] = $_POST["userid"]; header("Location: main.php"); exit; }
Prepared Statementsを使ったサンプルプログラム
<?php require 'password.php'; // セッション開始 session_start(); // エラーメッセージの初期化 $errorMessage = ""; // ログインボタンが押された場合 if (isset($_POST["login"])) { if (empty($_POST["userid"])) { $errorMessage = "ユーザIDが未入力です。"; } else if (empty($_POST["password"])) { $errorMessage = "パスワードが未入力です。"; } // ユーザIDとパスワードが入力されていたら認証する if (!empty($_POST["userid"]) && !empty($_POST["password"])) { // mysqlへの接続 $mysqli = new mysqli($db['host'], $db['user'], $db['pass']); if ($mysqli -> connect_errno) { print('<p>データベースへの接続に失敗しました。</p>' . $mysqli -> connect_error); exit(); } // 文字コードの設定 $mysqli -> set_charset("utf-8"); // データベースの選択 $mysqli -> select_db($db['dbname']); // SQLの設定(プリペアードステートメント) $stmt = $mysqli -> prepare("SELECT * FROM db_user WHERE name = ?;"); if ($stmt) { // 入力値のエスケープ $userid = $mysqli -> real_escape_string($_POST["userid"]); // バインド変数を置換する $stmt -> bind_param('s', $userid); // プリペアードステートメントの実行 if (!$stmt -> execute()) { print('プリペアードステートメントの実行に失敗しました。' . $stmt -> error); $stmt -> close(); $mysqli -> close(); exit(); } // 結果をバッファに保存 $stmt -> store_result(); // 結果を変数にバインドする $stmt -> bind_result($db_userId, $db_userName, $db_hashed_pwd); // データフェッチ while (mysqli_stmt_fetch($stmt)) { // NOP } // プリペアードステートメントのクローズ $stmt -> close(); } // データベースの切断 $mysqli -> close(); // 認証 if (password_verify($_POST["password"], $db_hashed_pwd)) { // 認証成功なら、セッションIDを新規に発行する session_regenerate_id(true); $_SESSION["USERID"] = $_POST["userid"]; header("Location: main.php"); exit; } // 認証失敗 else { $errorMessage = "ユーザIDあるいはパスワードに誤りがあります。"; } } else { // 未入力なら何もしない } } ?> <!doctype html> <html> <head> <meta charset="UTF-8"> <title>サンプルアプリケーション</title> </head> <body> <h1>ログイン機能 サンプルアプリケーション</h1> <form id="loginForm" name="loginForm" action="" method="POST"> <fieldset> <legend>ログインフォーム</legend> <div><?php echo $errorMessage ?></div> <label for="userid">ユーザID</label><input type="text" id="userid" name="userid" value="<?php echo htmlspecialchars($_POST["userid"], ENT_QUOTES); ?>"> <br> <label for="password">パスワード</label><input type="password" id="password" name="password" value=""> <br> <input type="submit" id="login" name="login" value="ログイン"> </fieldset> </form> </body> </html>
ログイン後のメイン画面(main.php)
続いて、ログインに成功した場合に表示されるmain.phpです。
この画面では、はじめにログイン状態のチェックを行っています。$_SESSION["USERID"]に値が格納されているかを調べています。login.phpでログインに成功すると、$_SESSION["USERID"]にユーザIDを格納しているので、この値が入っていないという場合は、不正なアクセスとみなして、ログアウト画面を表示するようにしています。
<?php session_start(); // ログイン状態のチェック if (!isset($_SESSION["USERID"])) { header("Location: logout.php"); exit; } ?> <!doctype html> <html> <head> <meta charset="UTF-8"> <title>サンプルアプリケーション</title> </head> <body> <h1>ログイン機能 サンプルアプリケーション</h1> <!-- ユーザIDにHTMLタグが含まれても良いようにエスケープする --> <p>ようこそ<?=htmlspecialchars($_SESSION["USERID"], ENT_QUOTES); ?>さん</p> <ul> <li><a href="logout.php">ログアウト</a></li> </ul> </body> </html>
ログアウト画面(logout.php)
ログアウト画面では、セッション情報の破棄を行います。$_SESSION["USERID"]に値が格納されているかどうかで、意図的にログアウトしたのか、セッションタイムアウトでログアウトになったのかを判断して、メッセージを出力しています。
PHPのログアウト処理に関しては、以下のサイトが参考になります。
<?php session_start(); if (isset($_SESSION["USERID"])) { $errorMessage = "ログアウトしました。"; } else { $errorMessage = "セッションがタイムアウトしました。"; } // セッション変数のクリア $_SESSION = array(); // セッションクリア @session_destroy(); ?> <!doctype html> <html> <head> <meta charset="UTF-8"> <title>サンプルアプリケーション</title> </head> <body> <h1>ログイン機能 サンプルアプリケーション</h1> <div><?php echo $errorMessage; ?></div> <ul> <li><a href="login.php">ログイン画面に戻る</a></li> </ul> </body> </html>
参考サイト
PHPによるログイン機能のサンプルコードは、以下のサイトが参考になります。