Авторизацияга туз кошуу
Эми бизге авторизацияны өзгөртүү керек. Бул жерде өзгөрүүлөр андан да маанилүү болот.
Логин-сырсөз жуптун тууралыгын дароо, бир сурам менен текшерүү мүмкүн болбой калат. Эмне үчүн: себеби, сырсөздү текшерүү үчүн, анын туздалган хэшин алуу керек, ал эми туз маалымат базасында сакталып, ар бир логин үчүн уникалдуу.
Башында логин боюнча гана жазууну алуу керек, тузду окуп, киргизилген сырсөздү туздап, андан кийин базадагы туздалган сырсөз менен салыштырып, эгер гана алар дал келсе, - колдонуучуну авторизациялоо.
Эске алыңыз, логин туура эмес киргизилиши мүмкүн, бул учурда сырсөздү текшерүүнү аткарбай коюп, дароо авторизация мүмкүн эмес - берилгендер туура эмес деп чыгара аласыз:
<?php
$login = $_POST['login'];
$query = "SELECT * FROM users WHERE login='$login'";
$res = mysqli_query($link, $query);
$user = mysqli_fetch_assoc($res);
if (!empty($user)) {
// мындай логиндеги колдонуучу бар, эми сырсөздү текшерүү керек...
} else {
// мындай логиндеги колдонуучу жок, билдирүү чыгарабыз
}
?>
Келгиле, сырсөздү текшерүүнү кошолу:
<?php
$login = $_POST['login'];
$query = "SELECT * FROM users WHERE login='$login'";
$res = mysqli_query($link, $query);
$user = mysqli_fetch_assoc($res);
if (!empty($user)) {
$salt = $user['salt']; // БЗден туз
$hash = $user['password']; // БЗден туздалган сырсөз
$password = md5($salt . $_POST['password']); // колдонуучунун туздалган сырсөзү
// Туздалган хэштерди салыштырабыз
if ($password == $hash) {
// баары жакшы, авторизациялайбыз...
} else {
// сырсөз туура келбеди, билдирүү чыгарабыз
}
} else {
// мындай логиндеги колдонуучу жок, билдирүү чыгарабыз
}
?>
Коопсуздук үчүн, колдонуучуга адатта эмне туура келбегенин - логин же сырсөз айтылбайт, хакерлердин логин-сырсөз жуптарын табуусун татаалдаштыруу үчүн. Жөн гана логин-сырсөз жубу туура эмес же ошондой нерсе деген билдирүү чыгарылат.
Жогоруда сүрөттөлгөн туздалган сырсөздүү авторизацияны ишке ашырыңыз. Катталып, кирип, баары иштеп жатканына ынаныңыз.
