はじめに
PHP5とMySQLでログイン機能を実現するサンプルアプリケーションを作ってみました。
翔泳社
売り上げランキング: 11,655
サンプルアプリケーションの概要
ログイン画面にユーザIDとパスワードを入力してログインすると、メインの画面を表示します。ログアウトのリンクをクリックすると、ログアウトします。
- login.php
- ログイン画面の表示と認証の機能を持ちます。
- main.php
- ログイン画面で認証が成功したら、この画面を表示します。ログインしたユーザの名前を表示します。
- logout.php
- メイン画面からログアウトのリンクがクリックされたら、ログアウトします。
データベースの構成
データベースはMySQLで、ユーザIDとパスワードを持つような以下のようなテーブル(db_user)を用意します。パスワードは暗号化(ハッシュ化)して保存するので、気持ち大きめのbyte数を確保します。
ログイン画面(login.php)
ログイン画面(login.php)のコードを解説していきます。
1.ユーザIDとパスワードの入力チェック
ログインに失敗した場合は、$errorMessageにエラーメッセージを格納し、画面に表示しています。
2.MySQLへ接続し、db_userテーブルからパスワードを取得する。
以下の部分がMySQLへの接続を行っている箇所になります。DBサーバのアドレス、ユーザID/パスワードはお使いの環境に合わせて変更してください。
$mysqli = new mysqli(DBサーバのアドレス, ユーザID, パスワード); if ($mysqli -> connect_errno) { print('<p>データベースへの接続に失敗しました。</p>' . $mysqli -> connect_error); exit(); }
3.データベースに格納するパスワードは、暗号化(ハッシュ)をしておく。ログイン時には、データベースに保存されたパスワードのハッシュ値と画面から入力されたパスワードのハッシュ値が一致するかを検証します。
さくらのレンタルサーバでは、PHP5.4までしか使えないので、以下のページを参考にpassword_compatをインストールして、ハッシュを行いました。
while ($row = $result->fetch_assoc()) {
// パスワード(暗号化済み)の取り出し
$db_hashed_pwd = $row['password'];
}
3.画面から入力されたパスワードをハッシュ化した値とデータベースから取得したハッシュ済みパスワードを比較します。
if (password_verify($_POST["password"], $db_hashed_pwd)) { // 一致 } else { // 不一致 }
4.パスワードが一致した場合は、セッションハイジャック対策として、session_regenerate_id( )を使って、セッションIDを再発行してから、main.phpを表示しています。
if (password_verify($_POST["password"], $db_hashed_pwd)) { // 認証成功なら、セッションIDを新規に発行する session_regenerate_id(true); $_SESSION["USERID"] = $_POST["userid"]; header("Location: main.php"); exit; }
2014.07.02追記 Quiitaでのコメント欄での指摘を受けて、コードを書き直しました。
<?php require 'password.php'; // セッション開始 session_start(); $db['host'] = "hogehoge.ne.jp"; // DBサーバのurl $db['user'] = "ユーザID"; $db['pass'] = "パスワード"; $db['dbname'] = "データベース名"; // エラーメッセージの初期化 $errorMessage = ""; // ログインボタンが押された場合 if (isset($_POST["login"])) { // 1.ユーザIDの入力チェック if (empty($_POST["userid"])) { $errorMessage = "ユーザIDが未入力です。"; } else if (empty($_POST["password"])) { $errorMessage = "パスワードが未入力です。"; } // 2.ユーザIDとパスワードが入力されていたら認証する if (!empty($_POST["userid"]) && !empty($_POST["password"])) { // mysqlへの接続 $mysqli = new mysqli($db['host'], $db['user'], $db['pass']); if ($mysqli->connect_errno) { print('<p>データベースへの接続に失敗しました。</p>' . $mysqli->connect_error); exit(); } // データベースの選択 $mysqli->select_db($db['dbname']); // 入力値のサニタイズ $userid = $mysqli->real_escape_string($_POST["userid"]); // クエリの実行 $query = "SELECT * FROM db_user WHERE name = '" . $userid . "'"; $result = $mysqli->query($query); if (!$result) { print('クエリーが失敗しました。' . $mysqli->error); $mysqli->close(); exit(); } while ($row = $result->fetch_assoc()) { // パスワード(暗号化済み)の取り出し $db_hashed_pwd = $row['password']; } // データベースの切断 $mysqli->close(); // 3.画面から入力されたパスワードとデータベースから取得したパスワードのハッシュを比較します。 //if ($_POST["password"] == $pw) { if (password_verify($_POST["password"], $db_hashed_pwd)) { // 4.認証成功なら、セッションIDを新規に発行する session_regenerate_id(true); $_SESSION["USERID"] = $_POST["userid"]; header("Location: main.php"); exit; } else { // 認証失敗 $errorMessage = "ユーザIDあるいはパスワードに誤りがあります。"; } } else { // 未入力なら何もしない } } ?> <!doctype html> <html> <head> <meta charset="UTF-8"> <title>サンプルアプリケーション</title> </head> <body> <h1>ログイン機能 サンプルアプリケーション</h1> <!-- $_SERVER['PHP_SELF']はXSSの危険性があるので、actionは空にしておく --> <!--<form id="loginForm" name="loginForm" action="<?php print($_SERVER['PHP_SELF']) ?>" method="POST">--> <form id="loginForm" name="loginForm" action="" method="POST"> <fieldset> <legend>ログインフォーム</legend> <div><?php echo $errorMessage ?></div> <label for="userid">ユーザID</label><input type="text" id="userid" name="userid" value="<?php echo htmlspecialchars($_POST["userid"], ENT_QUOTES); ?>"> <br> <label for="password">パスワード</label><input type="password" id="password" name="password" value=""> <br> <input type="submit" id="login" name="login" value="ログイン"> </fieldset> </form> </body> </html>
ログイン後のメイン画面(main.php)
続いて、ログインに成功した場合に表示されるmain.phpです。
この画面では、はじめにログイン状態のチェックを行っています。$_SESSION["USERID"]に値が格納されているかを調べています。login.phpでログインに成功すると、$_SESSION["USERID"]にユーザIDを格納しているので、この値が入っていないという場合は、不正なアクセスとみなして、ログアウト画面を表示するようにしています。
<?php session_start(); // ログイン状態のチェック if (!isset($_SESSION["USERID"])) { header("Location: logout.php"); exit; } ?> <!doctype html> <html> <head> <meta charset="UTF-8"> <title>サンプルアプリケーション</title> </head> <body> <h1>ログイン機能 サンプルアプリケーション</h1> <!-- ユーザIDにHTMLタグが含まれても良いようにエスケープする --> <p>ようこそ<?=htmlspecialchars($_SESSION["USERID"], ENT_QUOTES); ?>さん</p> <ul> <li><a href="logout.php">ログアウト</a></li> </ul> </body> </html>
ログアウト画面(logout.php)
ログアウト画面では、セッション情報の破棄を行います。$_SESSION["USERID"]に値が格納されているかどうかで、意図的にログアウトしたのか、セッションタイムアウトでログアウトになったのかを判断して、メッセージを出力しています。
PHPのログアウト処理に関しては、以下のサイトが参考になります。
<?php session_start(); if (isset($_SESSION["USERID"])) { $errorMessage = "ログアウトしました。"; } else { $errorMessage = "セッションがタイムアウトしました。"; } // セッション変数のクリア $_SESSION = array(); // クッキーの破棄は不要 //if (ini_get("session.use_cookies")) { // $params = session_get_cookie_params(); // setcookie(session_name(), '', time() - 42000, // $params["path"], $params["domain"], // $params["secure"], $params["httponly"] // ); //} // セッションクリア @session_destroy(); ?> <!doctype html> <html> <head> <meta charset="UTF-8"> <title>サンプルアプリケーション</title> </head> <body> <h1>ログイン機能 サンプルアプリケーション</h1> <div><?php echo $errorMessage; ?></div> <ul> <li><a href="login.php">ログイン画面に戻る</a></li> </ul> </body> </html>
参考サイト
PHPによるログイン機能のサンプルコードは、以下のサイトが参考になります。