Board logo

標題: 10-1-2 建立登入程式 [打印本頁]
作者: 小誌    時間: 2011-4-22 02:27     標題: 10-1-2 建立登入程式

10-1-2   建立登入程式
為了避免重複登入的動作,以及免除將每個網頁加入身份認證的程式,所以我們必須先建立一個確認登入的程式。
這個登入程式必須具備下列四項基本功能:
1、若連結瀏覽者要連結會員專屬的網頁,但是尚未通過身份確認,也就是說尚未完成登入的動作,則顯示如下圖的登入畫面:
[attach]5711[/attach]
圖10-4  會員專區登入畫面。

2、進行連結瀏覽者的會員身份確認。
3、如果連結瀏覽者的身份已經確認為會員無誤,就給予連結瀏覽會員專屬網頁的權利。
4、判斷連結瀏覽者是否已經完成過登入身份確認的動作,如果已經做過登入動作且身份確認無誤,就不需再顯示登錄畫面及登入要求。
作者: 小誌    時間: 2011-4-22 02:28

登入驗證的基礎網頁
我們登入程式在判斷連結瀏覽者尚未通過身份確認,也就是說尚未完成登入的動作時,必須立即顯示出登入的畫面,因此,我們必須先完成登錄畫面部分的HTML網頁內容,基礎網頁HTML如下:
  1. <HTML>
  2. <BODY>
  3. <h2 ALIGN="CENTER"><img border="0" src="login.gif"></h2>
  4. <CENTER>
  5. 嗨!親愛的會員您好,為讓您能在本站通行無阻,<BR>
  6. 請於下表填入您的認證資料!
  7. <FORM Action="<?=$_SERVER["PHP_SELF"];?>" Method=post>
  8. <TABLE BORDER=1 CELLSPACING=0 >
  9. <TR><TD ALIGN=RIGHT>登入名稱:</TD>
  10. <TD><Input Type=Text Name=ID Size=10></TD></TR>
  11. <TR><TD ALIGN=RIGHT>登入密碼:</TD>
  12. <TD><Input Type=Password Name=Password Size=8></TD></TR>
  13. </TABLE><P>
  14. <INPUT Type=Submit Value=" 確 定 " name="B1">
  15. </FORM>
  16. </CENTER>
  17. </BODY>
  18. </HTML>
複製代碼
注意看到上列敘述第7行,要將表單資料送交PHP網頁自己來處理,一般來說,應該是Action屬性保留不用就好了ㄚ!但是本範例不可以這樣做,因為此驗證網頁的內容將包含於其他的會員專屬網頁,因此,表單的Action屬性筆者不把它包留不用,而特別設定為「<?=$_SERVER["PHP_SELF"];?>」,為的是讓每個專屬網頁都有會員身份驗證的功能,「PHP_SELF」環境變數會傳回網頁本身的網址。
作者: 小誌    時間: 2011-4-22 02:30

登入驗證的程式敘述
完成基礎的登錄畫面HTML設計,接下來就是登入確認程式的撰寫了,在程式中我們是利用Session物件來記錄連結瀏覽者是否已經完成過登入身份確認的動作,如果已經做過登入動作且身份確認無誤,就不需再顯示登錄畫面及登入要求。如果連結瀏覽者的身份尚未確認,則出現登入表單讓連結瀏覽者輸入登入資料,當連結瀏覽者在表單中輸入資料後,按下「確定」按鈕將會執行我們的身份確認程式進行資料庫連結並取回會員資料記錄,來確認連結瀏覽者的身份!下列就是我們身份確認的PHP程式:
  1. <?
  2. session_start();
  3.   if ( @$_SESSION["checkok"]<>"yes")
  4.   {
  5.     if (isset($_REQUEST["ID"]) && isset($_REQUEST["Password"]))
  6.     {
  7.     $ID=$_REQUEST["ID"];
  8.     $Password = $_REQUEST["Password"];
  9.     //連結SQL Server
  10.     $conn = mysql_connect("localhost", "root", "12345a");
  11.     //選擇資料庫
  12.     mysql_select_db("Member", $conn);
  13.     //指定提取資料的校對字元表
  14.     mysql_query("set character set big5");
  15.     //建立SQL命令敘述
  16.     $SQL = "Select * From membertest Where ID='" . $ID . "'";
  17.     //執行SQL指令敘述,將執行後的結果集存放於RS中
  18.     //此時RS的內容即是一個虛擬資料表
  19.     $RS=mysql_query($SQL);
  20.            //有取得資料記錄
  21.         if ($Fields=mysql_fetch_array($RS))
  22.         {
  23.           //驗證會員帳號存在
  24.           if ($Fields["ID"]==$ID)
  25.             {
  26.                  //驗證會員密碼是否正確
  27.               if ($Fields["Password"]==$Password)
  28.                 {
  29.                  session_register("checkok");
  30.                     $_SESSION["checkok"]="yes";
  31.                 }
  32.              }
  33.              }
  34.       }
  35. ?>
複製代碼
筆者是利用mysql_quary()函數執行SQL指令敘述,並將SQL指令敘述執行後的結果集存到變數RS中,此時RS即成為一個虛擬資料表。

程式碼13到17行,利用接取於表單中的「登入名稱(帳號)」欄位資料作為資料搜尋(Select)依據,先找找有無此帳號存在,如果有,則mysql_fetch_array()函數的回傳值就是資料錄陣列欄位資料而非「False」,接著再利用接取於表單中的「登入密碼」欄位資料與資料錄陣列的密碼欄位(Password)資料做比較,如果密碼正確無誤,則瀏覽者就通過身份驗證。

奇怪,為何不將「登入名稱(帳號)」欄位與「登入密碼」欄位資料一並作為資料搜尋(Select)依據?這樣If半段敘述就只要一組而以ㄚ,筆者之所以會分段驗證,是因為這樣可以避免被有心人做「資料隱碼」攻擊,「資料隱碼」攻擊就是將攻擊資料庫的指令夾藏在查詢命令中,以此避過網路防火牆,同時繞過身份認證機制,取得資料庫權限,在入侵系統後,進而竊取資料庫內容或是破壞資料庫,所以筆者才將驗證工作分成兩組If判斷敘述來執行。



歡迎光臨 麻辣家族討論版版 (http://forum.twbts.com/)