質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
phpMyAdmin

phpMyAdminはオープンソースで、PHPで書かれたウェブベースのMySQL管理ツールのことです。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

解決済

会員制サイト:メールアドレスでログイン

SoraSue
SoraSue

総合スコア30

phpMyAdmin

phpMyAdminはオープンソースで、PHPで書かれたウェブベースのMySQL管理ツールのことです。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

3回答

0評価

3クリップ

10479閲覧

投稿2016/12/19 13:29

###前提・実現したいこと
Qiita:PHPとMySQLで新規登録とログインを実装する(PDO使用)を参考に、PHPで会員制サイトを作っています。
このサイトで作れるものでは、ID(新規登録時に自動的に発行される番号)を使ってログインするのですが、これをメアドを使ってログインできるようにしたいです。
###発生している問題・エラーメッセージ
メールアドレスを入力する用のフォームとデータベース(phpMyAdmin)を作りました。新規登録でメールアドレスを登録することには成功しました。しかし、正しいメールアドレスとパスワードを入力してログインしようとしても、うまくいきません。

###該当のソースコード

PHP

<?php require 'password.php'; // password_verfy()はphp 5.5.0以降の関数のため、バージョンが古くて使えない場合に使用 // セッション開始 session_start(); $db['host'] = "localhost"; // DBサーバのURL $db['user'] = "hogeUser"; // ユーザー名 $db['pass'] = "hogehoge"; // ユーザー名のパスワード $db['dbname'] = "loginManagement"; // データベース名 // エラーメッセージの初期化 $errorMessage = ""; // ログインボタンが押された場合 if (isset($_POST["login"])) { // 1. ユーザIDの入力チェック if (empty($_POST["userid"])) { // emptyは値が空のとき $errorMessage = 'ユーザーIDが未入力です。'; } else if (empty($_POST["password"])) { $errorMessage = 'パスワードが未入力です。'; } if (!empty($_POST["userid"]) && !empty($_POST["password"])) { // 入力したユーザIDを格納 $userid = $_POST["userid"]; // 2. ユーザIDとパスワードが入力されていたら認証する $dsn = sprintf('mysql: host=%s; dbname=%s; charset=utf8', $db['host'], $db['dbname']); // 3. エラー処理 try { $pdo = new PDO($dsn, $db['user'], $db['pass'], array(PDO::ATTR_ERRMODE=>PDO::ERRMODE_EXCEPTION)); $stmt = $pdo->prepare('SELECT * FROM userData WHERE id = ?'); $stmt->execute(array($userid)); $password = $_POST["password"]; if ($row = $stmt->fetch(PDO::FETCH_ASSOC)) { if (password_verify($password, $row['password'])) { session_regenerate_id(true); // 入力したIDのユーザー名を取得 $sql = "SELECT * FROM userData WHERE id = $userid"; //入力した$useridのユーザー名を取得 $stmt = $pdo->query($sql); foreach ($stmt as $row) { $row['name']; // ユーザー名 } $_SESSION["USERID"] = $row['name']; header("Location: Main.php"); // メイン画面へ遷移 exit(); // 処理終了 } else { // 認証失敗 $errorMessage = 'ユーザーIDあるいはパスワードに誤りがあります。'; } } else { // 4. 認証成功なら、セッションIDを新規に発行する // 該当データなし $errorMessage = 'ユーザーIDあるいはパスワードに誤りがあります。'; } } catch (PDOException $e) { $errorMessage = 'データベースエラー'; //$errorMessage = $sql; // $e->getMessage() でエラー内容を参照可能(デバック時のみ表示) // echo $e->getMessage(); } } } ?> <!doctype html> <html> <head> <meta charset="UTF-8"> <title>ログイン</title> </head> <body> <h1>ログイン画面</h1> <!-- $_SERVER['PHP_SELF']はXSSの危険性があるので、actionは空にしておく --> <!-- <form id="loginForm" name="loginForm" action="<?php print($_SERVER['PHP_SELF']) ?>" method="POST"> --> <form id="loginForm" name="loginForm" action="" method="POST"> <fieldset> <legend>ログインフォーム</legend> <div><font color="#ff0000"><?php echo $errorMessage ?></font></div> <!--今回、入力フォームはメールアドレスではなくIDにしました。--> <label for="userid">ユーザーID</label><input type="text" id="userid" name="userid" placeholder="ユーザーIDを入力" value="<?php if (!empty($_POST["userid"])) {echo htmlspecialchars($_POST["userid"], ENT_QUOTES);} ?>"> <br> <label for="password">パスワード</label><input type="password" id="password" name="password" value="" placeholder="パスワードを入力"> <br> <input type="submit" id="login" name="login" value="ログイン"> </fieldset> </form> <br> <form action="SignUp.php"> <fieldset> <legend>新規登録フォーム</legend> <input type="submit" value="新規登録"> </fieldset> </form> </body> </html>

HTML

<label for="mailaddress">メールアドレス</label><input type="text" id="mailaddress" name="mailaddress" placeholder="メールアドレスを入力" value="<?php if (!empty($_POST["mailaddress"])) {echo htmlspecialchars($_POST["mailaddress"], ENT_QUOTES);} ?>">

というのを<legend>ログインフォーム</legend>の中に追加してみました。
(ただし、今は上記のように変更しています。)そして、上の<?php?>の中の"userid"を"mailaddress"に変えました。
しかし、「ユーザーIDあるいはパスワードに誤りがあります。」と出て、ログインがうまくいきませんでした。

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

退会済みユーザー

退会済みユーザー

2016/12/19 13:44

参考にしているソースコードにはセキュリティ上の脆弱性が含まれています。より良質なコードを参考にされる方がよろしいかと思います。
SoraSue

2016/12/19 14:03

セキュリティ上の脆弱性とは、具体的に言うと$_POSTに直接アクセスしていることでしょうか?
退会済みユーザー

退会済みユーザー

2016/12/19 14:12 編集

SQLインジェクションですね。SQLに変数をそのまま書いてしまっています。 あとは、CSRF脆弱性も

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

phpMyAdmin

phpMyAdminはオープンソースで、PHPで書かれたウェブベースのMySQL管理ツールのことです。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。