PHP User Authentication with MySQL

User authentication is a process of validating users with some keys, tokens, or any other credentials. If the user gives correct credentials then the authentication process will be successful.

After successful authentication, the users will be allowed to the system as authenticated users.

In this tutorial, we are going to create a PHP user authentication system with MySQL database. It will be easy to understand this example code. By reading this article, you will learn how to code PHP user authentication.

Also, I have added the downloadable source code at the end of this article.

About this example

In this user authentication example, it has a login panel to let users enter their login details. It requests users to enter their username and password to authenticate. By submitting these login credentials, it will be posted to a PHP page.

In PHP it verifies the entered detail with the registered users’ database. It shows how to prepare the database query and execute it to check and verify the user’s data with the database.

Once a match is found, the user will be considered authenticated and authorized. After successful login, the authenticated user will be allowed to enter into the application.

Steps to create a user login authentication system in PHP

1. Create a MySQL database with users table.
2. Create a user login panel to submit login details to PHP.
3. Generate query to compare user login details with the MySQL user database.

1) Create a MySQL Database with Users Table.

For creating a database and the database tables you can run the MySQL CREATE statement. Instead, you can go with any database client like SQLYog, PHPMyAdmin. I am using PHPMyAdmin for creating the database and table structure that is used for the MySQL examples.

In this example, I created a database named as payload for creating users table. The following screenshot shows the users table structure with data.

2) Create User Login Panel.

The following HTML code is used to show the user login panel to the users to enter their authentication details. It has two input fields for getting username and password from the users.

Once the user entered their login details and submitted the form, the username and password data will be posted to the PHP to process authentication with MySQL database.

 
 ?>
 
Login
 
 
 Username 
Password  

These styles are added for the user authentication form elements by including a CSS file. The CSS provides a minimal look and feel to the PHP user authentication UI. It is just a skeleton and could be changed easily for the application theme.

body < font-family: calibri; >.tblLogin < border: #95bee6 1px solid; background: #d1e8ff; border-radius: 4px; >.tableheader < font-size: 24px; >.tableheader td < padding: 20px; >.tablerow td < text-align: center; >.message < color: #FF0000; font-weight: bold; text-align: center; width: 100%; >.login-input < border: #CCC 1px solid; padding: 10px 20px; >.btnSubmit

3) Generate Query to Compare User Input with the Database.

In the following PHP code, it checks the $_POST global array length before executing the authentication code block. Once the user authentication form is submitted, then this global array will contain the values of the form input fields.

The PHP authentication code includes DataSource class at the beginning of the program. It connects the MySQL database by specifying the configurations to get the connection object. It uses MySQLi with prepared statements to execute authentication queries.

After receiving user authentication details in PHP, it compares the form data with the user database by executing a query by using the connection object.

The query binds the username entered by the user via HTML form. Then, it verifies the password hash with the entered password to return the authentication results.

If a match is found, it means the user is genuine who registered already with the system. So, the authentication code will allow the user to proceed further.

No matter whether the authentication is cleared or not. Anyhow this code will acknowledge the user by displaying success or warning based on the result of the authentication process.

 0) < $isSuccess = 0; $conn = mysqli_connect("localhost", "root", "", "user_authentication"); $userName = $_POST['userName']; $sql = "SELECT * FROM users WHERE userName= ?"; $statement = $conn->prepare($sql); $statement->bind_param('s', $userName); $statement->execute(); $result = $statement->get_result(); while ($row = $result->fetch_assoc()) < if (! empty($row)) < $hashedPassword = $row["password"]; if (password_verify($_POST["password"], $hashedPassword)) < $isSuccess = 1; >> > if ($isSuccess == 0) < $message = "Invalid Username or Password!"; >else < header("Location: ./success-message.php"); >> ?> 

Database query preparation and parameter binding

To perform database operations this code uses secured prepared-statements to execute queries.

It creates a connection object by specifying the database credentials. This connection is used to validate login details with the MySQL database.

Database Script

Import this database script before running this example in your development environment.

This SQL script contains the user database structure. Additionally, it provides a sample record to test with valid authentication details.

Once you set up this example in your environment, run login.php and try below login details.

-- -- Table structure for table `users` -- CREATE TABLE `users` ( `userId` int(8) NOT NULL, `userName` varchar(55) NOT NULL, `password` varchar(255) NOT NULL, `displayName` varchar(55) NOT NULL ) ENGINE=InnoDB DEFAULT CHARSET=latin1; -- -- Dumping data for table `users` -- INSERT INTO `users` (`userId`, `userName`, `password`, `displayName`) VALUES (1, 'admin', '$2a$10$0FHEQ5/cplO3eEKillHvh.y009Wsf4WCKvQHsZntLamTUToIBe.fG', 'Admin'); -- -- Indexes for table `users` -- ALTER TABLE `users` ADD PRIMARY KEY (`userId`); -- -- AUTO_INCREMENT for dumped tables -- -- -- AUTO_INCREMENT for table `users` -- ALTER TABLE `users` MODIFY `userId` int(8) NOT NULL AUTO_INCREMENT, AUTO_INCREMENT=2; 

Источник

How do I authenticate a user in PHP / MySQL?

So recently I learned how to properly add a username and password to a database. My database is usersys, and the table storing user information is called userdb. The table has two columns — username (primary), password. The registration form works great, enters the users input into the database correctly and also checks to see whether the user’s username is already in the database or not. With that said, I am asking if anyone could help me create a login script. So far, this is what I have:

$username = $_POST['username']; $password = $_POST['password']; $displayname = $_POST['username']; $displayname = strtolower($displayname); $displayname = ucfirst($displayname); echo "Your username: " . $displayname . "
"; mysql_connect("localhost", "root", "******") or die(mysql_error()); echo "Connected to MySQL
"; mysql_select_db("usersys") or die(mysql_error()); echo "Connected to Database 
"; $lcusername = strtolower($username); $esclcusername = mysql_real_escape_string($lcusername); $escpassword = mysql_real_escape_string($password); $result = mysql_query("SELECT * FROM userdb WHERE username='$esclcusername' AND password='$escpassword'") or die(mysql_error()); $row = mysql_fetch_array( $result ); $validateUser = $row['username']; $validatePass = $row['password']; 

The POST data is from the previous log in page. I want this script to check the table (userdb) and find the row for the username that the user entered from the previous form and verify that the password entered matches the username’s password set in that row, in userdb table. I also want some type of way to check whether or not if the username entered exists, to tell the user that the username entered does not exists if it can not be found in the table.

Источник

Аутентификация и авторизация на PHP

Чтобы создать проверку пользователя во всплывающем окне достаточно следующего кода:

Тем не менее, желательно добавить немного функционала:

Работать такой код будет довольно убого — если ввести пароль неверно не будет второй попытки. Придётся закрывать вкладку, идти в историю браузера и удалять там соответствующие данные.

В Firefox это Library → History → Clear Recent History → Active Logins

В Chrome это Passwords and other sing-in data (в Clear browsing data → Advanced)

В Safari это Clear History

Если пароль поменялся, пользователя со старым паролем не выкинет и т.д.

Примечание о совместимости

Пожалуйста, будьте осторожны при кодировании строк заголовка HTTP.

Чтобы гарантировать максимальную совместимость со всеми клиентами, ключевое слово «Basic» должно быть написано с прописной буквой «B», строка realm должна быть заключена в двойные (а не одинарные) кавычки, и ровно один пробел должен предшествовать коду 401 в строке заголовка HTTP/1.0 401. Параметры аутентификации должны быть разделены запятыми, как показано в приведенном выше примере дайджеста.

Очистить глобальные переменные

Очистить значения переменных $_SERVER[‘PHP_AUTH_USER’] и $_SERVER[‘PHP_AUTH_PW’] можно с помощью функции unset()

HTTP Digest Authentication

Дайджест-аутентификация доступа — один из общепринятых методов, используемых веб-сервером для обработки учетных данных пользователя веб-браузера.

Аналогичный метод используется в рамках VoIP-протокола SIP для аутентификации сервером обращения со стороны клиента, т.е. оконечного терминала.

Данный метод отправляет по сети хеш-сумму логина, пароля, адреса сервера и случайных данных, и предоставляет больший уровень защиты, чем базовая аутентификация, при которой данные отправляются в открытом виде.

Технически, аутентификация по дайджесту представляет собой применение криптографической хеш-функции MD5 к секрету пользователя с использованием случайных значений для затруднения криптоанализа и предотвращения replay-атак. Работает на уровне протокола HTTP.

Это более продвинутый вариант HTTP Аутентификации.

Можно использовать следующие опции ( полный список в RFC )

domain — домен

Необязательный список URI (через пробел), которые защищены данным запросом на аутентификацию.

Указывает на алгоритм, используемый для создания дайджеста.

base64 или HEX строка которую генерирует сервер. Клиент должен вернуть opaque неизменённым.

nonce — Уникальное HEX число или base64 число, которое сервер генерирует вместе с каждый 401 запросом.

nonce должен быть в одинарных кавычках (не в двойных)

nonce-count — HEX число, содержащее количество запросов, которые клиент отправил с nonce в запросе.

От английского stale — устаревший.

Флаг, который показывает на то, что предыдущий запрос от клиента был отклонён из за того, что значение nonce было несвежим.

Сервер должен ставить флаг stale в TRUE (регистронечувствительный) если пароль и имя пользователя верные и только nonce устарел.

В этом случае клиент может попытаться отправить ещё один зашифрованный запрос не запрашивая у пользователя ввод пароля.

Если сервер отказал в соединении а stale поставлен в FALSE, либо любое значение кроме TRUE, либо вообще отсутствует, значит клиент должен запросить логин и пароль снова.

qop — Quality of Protection

Опция для HTTP Digest Authentication. Может принимать значения «auth» или «auth-int». Влияет на то как создается хэш.

Если поставить в «auth» будет использоваться только запрошенный URI. Если в «auth-int» то также будет использовано тело запроса.

cnonce — Уникальный id сгенерированный клиентом. Это число помогает клиенту и серверу подтвердить, что у них есть известный общий секрет. Необходимо когда сервер отправляет qop. Не должно посылаться если сервер не использовал qop директиву.

Обзор Digest Аутентификации

1. Клиент шлёт GET на сервер.

WWW-Authenticate: Digest realm=»AndreiR»,
qop=»auth,auth-int»,
nonce=»abcdefg…»,
opaque=»abcd…»,

Пользователь вводит свои учётные данные

HA1 = MD5 хэш из имени пользователя, пароля и строки realm.

HA2 = MD5 хэш из метода аутентификации и запрошенного URI

Response = MD5 хэш из HA1, HA2, nonce, nonce-count, cnonce и qop

GET /
Authorization: Digest username=»andrei», realm=»AndreiR», uri=»/»
qop=auth, nc=00000001,response=»12345abc…»
nonce=»abcdefg…»,
opaque=»abcd…»,

1. Сервер проверяет пришедшие данные. Если всё верно возвращает HTTP 200 OK, если неверно HTTP 403 Forbidden

Некоторые опции необязательны, поэтому гарантировать определённый уровень безопасности нельзя.

HTTP Digest Аутентификация уязвима для атак посредника (MITM) так как сервер не может проверить идентичность клиента.

Невозможно использовать более сложные алгоритмы хэширования паролей, такие как bcrypt

Form Based Аутентификации

Про аутентификацию через HTML форму вы можете прочитать в статье «PHP Аутентификация через форму»

Источник