小さい頃はエラ呼吸

いつのまにやら肺で呼吸をしています。


PHP5とMySQLでつくるログイン機能(プリペアードステートメント編)

はじめに

以前作成した、PHP5とMySQLでログイン機能を実現するサンプルアプリケーションをプリペアードステートメントを使ったものに書き直してみました。

PHP逆引きレシピ 第2版 (PROGRAMMER’S RECiPE)
鈴木 憲治 山田 直明 山本 義之 浅野 仁 櫻井 雄大 安藤 建一
翔泳社
売り上げランキング: 11,655

サンプルアプリケーションの概要

ログイン画面にユーザIDとパスワードを入力してログインすると、メインの画面を表示します。ログアウトのリンクをクリックすると、ログアウトします。

  • login.php
    • ログイン画面の表示と認証の機能を持ちます。
  • main.php
    • ログイン画面で認証が成功したら、この画面を表示します。ログインしたユーザの名前を表示します。
  • logout.php
    • メイン画面からログアウトのリンクがクリックされたら、ログアウトします。
データベースの構成

データベースはMySQLで、ユーザIDとパスワードを持つような以下のようなテーブル(db_user)を用意します。パスワードは暗号化(ハッシュ化)して保存するので、気持ち大きめのbyte数を確保します。
f:id:replication:20140703012402p:plain

ログイン画面(login.php)

ログイン画面(login.php)のコードを解説していきます。
1.ユーザIDとパスワードの入力チェック
ログインに失敗した場合は、$errorMessageにエラーメッセージを格納し、画面に表示しています。
2.MySQLへ接続し、db_userテーブルからパスワードを取得する。
以下の部分がMySQLへの接続を行っている箇所になります。DBサーバのアドレス、ユーザID/パスワードはお使いの環境に合わせて変更してください。

$mysqli = new mysqli(DBサーバのアドレス, ユーザID, パスワード);
if ($mysqli -> connect_errno) {
  print('<p>データベースへの接続に失敗しました。</p>' . $mysqli -> connect_error);
  exit();
} 

3.データベースに格納するパスワードは、暗号化(ハッシュ)をしておく。ログイン時には、データベースに保存されたパスワードのハッシュ値と画面から入力されたパスワードのハッシュ値が一致するかを検証します。
さくらのレンタルサーバでは、PHP5.4までしか使えないので、以下のページを参考にpassword_compatをインストールして、ハッシュを行いました。

// SQLの設定(プリペアードステートメント)
$stmt = $mysqli -> prepare("SELECT * FROM db_user WHERE name = ?;");
if ($stmt) {
  // 入力値のエスケープ
  $userid = $mysqli -> real_escape_string($_POST["userid"]);
  // バインド変数を置換する
  $stmt -> bind_param('s', $userid);
  // プリペアードステートメントの実行
  if (!$stmt -> execute()) {
	print('プリペアードステートメントの実行に失敗しました。' . $stmt -> error);
	$stmt -> close();
	$mysqli -> close();
	exit();
  } 
  // 結果をバッファに保存
  $stmt -> store_result();
  // 結果を変数にバインドする
  $stmt -> bind_result($db_userId, $db_userName, $db_hashed_pwd);
  // データフェッチ
  while (mysqli_stmt_fetch($stmt)) {
	// NOP
  } 
  // プリペアードステートメントのクローズ
  $stmt -> close();
}

3.画面から入力されたパスワードをハッシュ化した値とデータベースから取得したハッシュ済みパスワードを比較します。

if (password_verify($_POST["password"], $db_hashed_pwd)) {
  // 一致
}
else {
  // 不一致
}

4.パスワードが一致した場合は、セッションハイジャック対策として、session_regenerate_id( )を使って、セッションIDを再発行してから、main.phpを表示しています。

if (password_verify($_POST["password"], $db_hashed_pwd)) {
  // 認証成功なら、セッションIDを新規に発行する
  session_regenerate_id(true);
  $_SESSION["USERID"] = $_POST["userid"];
  header("Location: main.php");
  exit;
}

セッションハイジャック と session_regenerate_id( )関数 - Shoulder.jpセッションハイジャック と session_regenerate_id( )関数 - Shoulder.jp

Prepared Statementsを使ったサンプルプログラム
<?php
require 'password.php';
// セッション開始
session_start();
// エラーメッセージの初期化
$errorMessage = "";
// ログインボタンが押された場合
if (isset($_POST["login"])) {
  if (empty($_POST["userid"])) {
    $errorMessage = "ユーザIDが未入力です。";
  } else if (empty($_POST["password"])) {
    $errorMessage = "パスワードが未入力です。";
  } 
  // ユーザIDとパスワードが入力されていたら認証する
  if (!empty($_POST["userid"]) && !empty($_POST["password"])) {
    // mysqlへの接続
    $mysqli = new mysqli($db['host'], $db['user'], $db['pass']);
    if ($mysqli -> connect_errno) {
      print('<p>データベースへの接続に失敗しました。</p>' . $mysqli -> connect_error);
      exit();
    } 
    // 文字コードの設定
    $mysqli -> set_charset("utf-8");
    // データベースの選択
    $mysqli -> select_db($db['dbname']);
    // SQLの設定(プリペアードステートメント)
    $stmt = $mysqli -> prepare("SELECT * FROM db_user WHERE name = ?;");
    if ($stmt) {
      // 入力値のエスケープ
      $userid = $mysqli -> real_escape_string($_POST["userid"]);
      // バインド変数を置換する
      $stmt -> bind_param('s', $userid);
      // プリペアードステートメントの実行
      if (!$stmt -> execute()) {
        print('プリペアードステートメントの実行に失敗しました。' . $stmt -> error);
        $stmt -> close();
        $mysqli -> close();
        exit();
      } 
      // 結果をバッファに保存
      $stmt -> store_result();
      // 結果を変数にバインドする
      $stmt -> bind_result($db_userId, $db_userName, $db_hashed_pwd);
      // データフェッチ
      while (mysqli_stmt_fetch($stmt)) {
        // NOP
      } 
      // プリペアードステートメントのクローズ
      $stmt -> close();
    } 
    // データベースの切断
    $mysqli -> close();
    // 認証
    if (password_verify($_POST["password"], $db_hashed_pwd)) {
      // 認証成功なら、セッションIDを新規に発行する
      session_regenerate_id(true);
      $_SESSION["USERID"] = $_POST["userid"];
      header("Location: main.php");
      exit;
    } 
    // 認証失敗
    else {
      $errorMessage = "ユーザIDあるいはパスワードに誤りがあります。";
    } 
  } else {
    // 未入力なら何もしない
  } 
} 
 
?>
<!doctype html>
<html>
  <head>
  <meta charset="UTF-8">
  <title>サンプルアプリケーション</title>
  </head>
  <body>
  <h1>ログイン機能 サンプルアプリケーション</h1>
  <form id="loginForm" name="loginForm" action="" method="POST">
  <fieldset>
  <legend>ログインフォーム</legend>
  <div><?php echo $errorMessage ?></div>
  <label for="userid">ユーザID</label><input type="text" id="userid" name="userid" value="<?php echo htmlspecialchars($_POST["userid"], ENT_QUOTES);
?>">
  <br>
  <label for="password">パスワード</label><input type="password" id="password" name="password" value="">
  <br>
  <input type="submit" id="login" name="login" value="ログイン">
  </fieldset>
  </form>
  </body>
</html>
ログイン後のメイン画面(main.php)

続いて、ログインに成功した場合に表示されるmain.phpです。
この画面では、はじめにログイン状態のチェックを行っています。$_SESSION["USERID"]に値が格納されているかを調べています。login.phpでログインに成功すると、$_SESSION["USERID"]にユーザIDを格納しているので、この値が入っていないという場合は、不正なアクセスとみなして、ログアウト画面を表示するようにしています。

<?php
session_start();

// ログイン状態のチェック
if (!isset($_SESSION["USERID"])) {
  header("Location: logout.php");
  exit;
}

?>

<!doctype html>
<html>
  <head>
    <meta charset="UTF-8">
    <title>サンプルアプリケーション</title>
  </head>
  <body>
  <h1>ログイン機能 サンプルアプリケーション</h1>
  <!-- ユーザIDにHTMLタグが含まれても良いようにエスケープする -->
  <p>ようこそ<?=htmlspecialchars($_SESSION["USERID"], ENT_QUOTES); ?>さん</p>
  <ul>
  <li><a href="logout.php">ログアウト</a></li>
  </ul>
  </body>
</html>
ログアウト画面(logout.php)

ログアウト画面では、セッション情報の破棄を行います。$_SESSION["USERID"]に値が格納されているかどうかで、意図的にログアウトしたのか、セッションタイムアウトでログアウトになったのかを判断して、メッセージを出力しています。
PHPのログアウト処理に関しては、以下のサイトが参考になります。



    PHP session 使用時のログアウト処理 - JE no hitori chat

PHP session 使用時のログアウト処理 - JE no hitori chat

<?php
session_start();

if (isset($_SESSION["USERID"])) {
  $errorMessage = "ログアウトしました。";
}
else {
  $errorMessage = "セッションがタイムアウトしました。";
}
// セッション変数のクリア
$_SESSION = array();

// セッションクリア
@session_destroy();
?>

<!doctype html>
<html>
  <head>
    <meta charset="UTF-8">
    <title>サンプルアプリケーション</title>
  </head>
  <body>
  <h1>ログイン機能 サンプルアプリケーション</h1>
  <div><?php echo $errorMessage; ?></div>
  <ul>
  <li><a href="login.php">ログイン画面に戻る</a></li>
  </ul>
  </body>
</html>
参考サイト

PHPによるログイン機能のサンプルコードは、以下のサイトが参考になります。

WebTecNote - [php] パスワード認証ログインシステムのサンプルWebTecNote - [php] パスワード認証ログインシステムのサンプル
ログイン画面を作る | PHP勉強しるよログイン画面を作る | PHP勉強しるよ