ECサイトにおけるログイン機能について

現在、ECサイトのログイン機能を作成しています。

データベース上に登録されている情報と照らし合わせて、一致するものがあればログインするという感じにしようと思っています。

php
1<!-- login.php -->
2
3<?php require 'function.php'; ?>
4<!DOCTYPE html>
5<html lang = "ja" dir = "ltr">
6<head>
7	<meta charset = "UTF-8"/>
8	<link rel="stylesheet" href="style.css">
9	<title>ログイン</title>
10</head>
11
12<body><div id = "login_all"><form method = "POST" action = "">
13	
14		<!-- タイトル -->
15		<div id = "login_midasi">
16			
17			<h2>ログイン</h2>
18
19		</div>
20
21		<!-- 氏名入力ボックス -->
22		<div id = "login_name">
23			
24			<p>氏名</p>
25			<p><input type = "text" name = "login_name" value = ""></p>
26
27		</div>
28
29		<!-- パスワード入力ボックス -->
30		<div id = "login_password">
31			
32			<p>パスワード</p>
33			<p><input type = "text" name = "login_password" value = ""></p>
34
35		</div>
36
37		<!-- ログインボタン -->
38		<div id = "login_login">
39			
40			<input class = "login_login" name = "login_login" type = "submit" value = "ログイン">
41
42		</div>
43
44		
45</div> </body>

php
1<!-- function.php -->
2<!-- login.phpの処理 -->
3
4<?php
5	
6	$db['host'] = "localhost";  // DBサーバのurl
7	$db['user'] = "root";
8	$db['pass'] = "";
9	$db['dbname'] = "ec";
10
11	// エラーメッセージの初期化
12	$errorMessage = "";
13
14	// ログインボタンが押された場合
15	if(isset($_POST['login_login'])) {
16		
17		// １．ユーザIDの入力チェック
18		if (empty($_POST['login_name'])) {
19		
20			echo $errorMessage = "ユーザIDが未入力です。";
21		
22		} else if (empty($_POST['login_password'])) {
23			
24			echo $errorMessage = "パスワードが未入力です。";
25		
26		} 
27
28	// ２．ユーザIDとパスワードが入力されていたら認証する
29	if (!empty($_POST['login_name']) && !empty($_POST['login_password'])) {
30		
31		// mysqlへの接続
32		$mysqli = new mysqli($db['host'], $db['user'], $db['pass']);
33		
34		if ($mysqli->connect_errno) {
35			
36			echo('<p>データベースへの接続に失敗しました。</p>' . $mysqli->connect_error);
37			exit();
38		
39		}
40
41		// データベースの選択
42		$mysqli->select_db($db['dbname']);
43
44		// 入力値のサニタイズ
45		$userid = $mysqli->real_escape_string($_POST['login_name']);
46
47		// クエリの実行
48		$query = "SELECT * FROM user WHERE name = '" . $userid . "'";
49		$result = $mysqli->query($query);
50		
51		if (!$result) {
52     	
53     		echo('クエリーが失敗しました。' . $mysqli->error);
54    		$mysqli->close();
55    		exit();
56    	
57    	}
58
59    	while ($row = $result->fetch_assoc()) {
60      	
61      		// パスワード(暗号化済み）の取り出し
62      		$db_hashed_pwd = $row['password'];
63    	
64    	}
65
66    	// データベースの切断
67    	$mysqli->close();
68
69		// ３．画面から入力されたパスワードとデータベースから取得したパスワードのハッシュを比較します。
70		//if ($_POST["password"] == $pw) {
71		if (password_verify($_POST['login_password'], $db_hashed_pwd)) {
72			
73			// ４．認証成功なら、セッションIDを新規に発行する
74			session_regenerate_id(true);
75			$_SESSION['user'] = $_POST['login_name'];
76			header("Location: index.php");
77			exit;
78		
79		} else {
80		
81		// 認証失敗
82		echo $errorMessage = "ユーザIDあるいはパスワードに誤りがあります。";
83		
84		} 
85	}else {
86		
87		// 未入力なら何もしない
88	
89	} 
90	} 
91?>

このコードを使いログインチェックを行ったところ、
名前とパスワードの両方にデータベース上に存在しない適当な文字列を入力すると

Notice: Undefined variable: db_hashed_pwd in C:\xampp\htdocs\20\function.php on line 97
ユーザIDあるいはパスワードに誤りがあります。

このようにエラーとechoの中身が出ます。
解決方法お教えいただけませんでしょうか。
よろしくお願いいたします。

行動規範の内容に同意します

回答1件

ベストアンサー

db_hashed_pwdを定義すればいいのではないかと。

PHP
1<?php
2$db['host'] = "localhost";  // DBサーバのurl
3$db['user'] = "root";
4$db['pass'] = "";
5$db['dbname'] = "ec";
6
7// エラーメッセージの初期化
8$errorMessage = "";
9$db_hashed_pwd = ""; // 追加。
10// ログインボタンが押された場合
11if (isset($_POST['login_login'])) {
12
13    // １．ユーザIDの入力チェック
14    if (empty($_POST['login_name'])) {
15
16        echo $errorMessage = "ユーザIDが未入力です。";
17
18    } else {
19        if (empty($_POST['login_password'])) {
20
21            echo $errorMessage = "パスワードが未入力です。";
22
23        }
24    }
25
26    // ２．ユーザIDとパスワードが入力されていたら認証する
27    if (!empty($_POST['login_name']) && !empty($_POST['login_password'])) {
28        // mysqlへの接続
29        $mysqli = new mysqli($db['host'], $db['user'], $db['pass']);
30        if ($mysqli->connect_errno) {
31
32            echo('<p>データベースへの接続に失敗しました。</p>' . $mysqli->connect_error);
33            exit();
34
35        }
36
37        // データベースの選択
38        $mysqli->select_db($db['dbname']);
39
40        // 入力値のサニタイズ
41        $userid = $mysqli->real_escape_string($_POST['login_name']);
42
43        // クエリの実行
44        $query = "SELECT * FROM `sample01` WHERE `name` = '" . $userid . "'";
45        $result = $mysqli->query($query);
46
47        if (!$result) {
48
49            echo('クエリーが失敗しました。' . $mysqli->error);
50            $mysqli->close();
51            exit();
52
53        }
54
55        while ($row = $result->fetch_assoc()) {
56
57            // パスワード(暗号化済み）の取り出し
58            $db_hashed_pwd = $row['password'];
59
60        }
61
62        // データベースの切断
63        $mysqli->close();
64
65        // ３．画面から入力されたパスワードとデータベースから取得したパスワードのハッシュを比較します。
66        //if ($_POST["password"] == $pw) {
67        if (password_verify($_POST['login_password'], $db_hashed_pwd)) {
68
69            // ４．認証成功なら、セッションIDを新規に発行する
70            session_regenerate_id(true);
71            $_SESSION['user'] = $_POST['login_name'];
72            header("Location: index.php");
73            exit;
74
75        } else {
76
77            // 認証失敗
78            echo $errorMessage = "ユーザIDあるいはパスワードに誤りがあります。";
79
80        }
81    } else {
82
83        // 未入力なら何もしない
84
85    }
86}
87?>