Q&A
ご回答ありがとうございます。
そんなに間違いだらけだとは...
明日記載の内容をもとに修正作業を行いたいと思います。
実現したい事、困っている事
データベースに登録している情報と入力された情報が一致するとログインできる仕組みを作りたいです。
しかしログインとして機能しておらず、その理由が分かりません。
環境など
xamppを使用して作成しています。
データベースにはログインのための次の情報が登録されています。
データベース名:staff_data
code:1
name:根岸
password:bep123
検証した内容
・var_dump($data)すると、中には確かにデータ(コードとパスワード)が入っています。
・$staff_pass = md5($staff_pass);をコメントアウトすると、ページは飛びますがログインとして機能していません。
コメントアウトを外すと、「スタッフコードかパスワードが間違っています。」が表示されてしまいます。
コード
<body> <!--/.staff_login.phpの内容 --> <section class="wrapper"> <h1 class="login_hd">スタッフログイン</h1> <form class="form" method="post" action="staff_login_check.php"> <p>スタッフコード</p> <input type="text" name="code"> <p>パスワード</p> <input type="password" name="pass"> <button class="btn" type="button" onclick="submit();">ログインする</button> </form> </section><!--/.wrapper --> </body>
php
1<?php 2 3try{ 4 5 $staff_code = $_POST['code']; 6 $staff_pass = $_POST['pass']; 7 $staff_code = htmlspecialchars($staff_code,ENT_QUOTES,'UTF-8'); 8 $staff_pass = htmlspecialchars($staff_pass,ENT_QUOTES,'UTF-8'); 9 $staff_pass = md5($staff_pass); 10 11 $dsn = 'mysql:dbname=kaigo;host=localhost;charset=utf8'; 12 $user = 'root'; 13 $password = 'keichi2268'; 14 $dbh = new PDO($dsn,$user,$password); 15 $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 16 17 $sql = 'SELECT name FROM staff_data WHERE code=? AND password=?'; 18 $stmt = $dbh->prepare($sql); 19 $data[] = $staff_code; 20 $data[] = $staff_pass; 21 $stmt->execute($data); 22 23 $dbh = null; 24 25 //データの中身を配列で返す 26 $rec = $stmt->fetch(PDO::FETCH_ASSOC); 27 28 if($rec==false){ 29 print 'スタッフコードかパスワードが間違っています。<br>'; 30 print '<a href="staff_login.php">戻る</a>'; 31 }else{ 32 header('Location:../kaigo/person_add.php'); 33 exit(); 34 } 35 36}catch(Exception $e){ 37 print 'ただいま障害によりご迷惑をおかけしております'; 38 exit(); 39} 40 41?>
何が間違っているのか、ご教示いただけますと幸いです。
よろしくお願いします。
回答2件
0
ベストアンサー
$staff_code = $_POST['code']; $staff_pass = $_POST['pass']; $staff_code = htmlspecialchars($staff_code,ENT_QUOTES,'UTF-8'); $staff_pass = htmlspecialchars($staff_pass,ENT_QUOTES,'UTF-8'); $staff_pass = md5($staff_pass);
}catch(Exception $e){ print 'ただいま障害によりご迷惑をおかけしております'; exit(); }
この辺りの設計がかなりダイナミックに誤っている(10-15年前くらいの教本に書いてそうなコードです)ので、データベースに値を投入するところまで遡らないと解決しない気がします。
(もし独学で使用されている教材のコードであれば、教材の変更をお勧めせざるを得ないです)
とりあえず、まずやることは
- phpMyAdminでもコマンドラインのMySQLクライアントでも、MySQL WorkBenchなどのGUIツールでも何でも良いので、実行して正しい結果が出力されるSQLを一つ特定する。
正しいSQLにたどり着けないのであれば、そもそもDB設計 or データ投入時の処理についての理解が足りないので、そっちを先に理解できるようにする。
- SQLを1で取得した固定値に置き換えてみて、処理が正しく動くかを確認する。正しく動くなら前後の処理自体は正しいので
$dataの処理が誤っているのでどこで誤った値になったか一つづつ遡ってvar_dump()なりxdebugでブレークポイントを仕掛けてチェックする。
正しく動かないなら前後の処理も誤っているのでそのあたりを一つづつ確認。
$sql = 'SELECT name FROM staff_data WHERE code=? AND password=?'; $stmt = $dbh->prepare($sql); $data[] = $staff_code; $data[] = $staff_pass; $stmt->execute($data);
↓
$sql = '1で特定したSQLを固定文字列で入れる'; $stmt = $dbh->prepare($sql); // $data[] = $staff_code; // $data[] = $staff_pass; $stmt->execute();
というあたりかと思います。
投稿2020/09/16 07:16
編集2020/09/16 07:17
総合スコア18727
0
何が間違っているのか
たくさんあります。
- パスワードを平文で保存している
- 画面表示しない情報にhtmlspecialchars()を入れている
- データ上のパスワードが平文だがmd5()でハッシュ値を条件にしている
php
1echo md5("bep123"); //f5c9f5916ef4cecb8944d9b685dfb1df
- try-catchで捕捉した例外を出力していない
- fetch()の返却値は関数自体の正否なので「SELECTの実行結果、0件だった」が判定できるか微妙。
- 成功した場合に遷移させているが、どこにもユーザー情報を保持しないまま遷移させているので、「誰でログインしたか」保持させる必要がある(例:セッション)
PHPで推奨される対応はpassword_hash()によるハッシュ化とpassword_verify()による検証です。
参考:2018年のパスワードハッシュ
「2018年の」というタイトルですが、今でも通じると思いますし、最終的には「ソーシャルログインで十分、どうしてもならフレームワーク採用(自力で実装するな)」は変わらないと思います。
下記のような記事も参考にしてください。
PHPでログイン機能を実装するチュートリアル
PHPログイン機能
投稿2020/09/16 07:15
編集2020/09/16 07:23
総合スコア80875
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/09/16 13:05
2020/09/16 16:16 編集
2020/09/17 00:03
2020/09/17 01:40