Avtorizatsiyada tuz qo'shish
Endi bizga avtorizatsiyani o'zgartirish kerak. Bu yerda o'zgarishlar ancha muhimroq bo'ladi.
Endi login-parol juftligining to'g'riligini darhol, bitta so'rov bilan tekshirib bo'lmaydi. Nima uchun: chunki parolni tekshirish uchun uning tuzlangan heshini olish kerak, tuz esa ma'lumotlar bazasida saqlanadi va har bir login uchun noyobdir.
Avval faqat login bo'yicha yozuvni olish, tuzni o'qib olish, kiritilgan parolni tuzlash va bazadagi tuzlangan parol bilan solishtirish kerak bo'ladi va faqat ular mos kelsa, foydalanuvchini avtorizatsiya qilish kerak.
E'tiboringizni qaratamiz, login noto'g'ri kiritilgan bo'lishi mumkin, bu holda parolni tekshirishni amalga oshirish shart emas, darhol avtorizatsiya amalga oshirilmaydi - ma'lumotlar noto'g'ri degan xabarni chiqarish mumkin:
<?php
$login = $_POST['login'];
$query = "SELECT * FROM users WHERE login='$login'";
$res = mysqli_query($link, $query);
$user = mysqli_fetch_assoc($res);
if (!empty($user)) {
// bunday loginli foydalanuvchi mavjud, endi parolni tekshirish kerak...
} else {
// bunday loginli foydalanuvchi yo'q, xabar chiqaramiz
}
?>
Keling parolni tekshirishni qo'shamiz:
<?php
$login = $_POST['login'];
$query = "SELECT * FROM users WHERE login='$login'";
$res = mysqli_query($link, $query);
$user = mysqli_fetch_assoc($res);
if (!empty($user)) {
$salt = $user['salt']; // Bazadan tuz
$hash = $user['password']; // Bazadan tuzlangan parol
$password = md5($salt . $_POST['password']); // Foydalanuvchining tuzlangan paroli
// Tuzlangan heshlarni solishtiramiz
if ($password == $hash) {
// hammasi joyida, avtorizatsiya qilamiz...
} else {
// parol mos kelmadi, xabar chiqaramiz
}
} else {
// bunday loginli foydalanuvchi yo'q, xabar chiqaramiz
}
?>
Xavfsizlik maqsadida foydalanuvchiga odatda nima noto'g'ri - login yoki parol, aytilmaydi, bu login-parol juftligini hakerlar tomonidan topishni qiyinlashtirish uchun. Oddiygina login-parol juftligi noto'g'ri yoki shunga o'xshash xabar chiqariladi.
Yuqorida tavsiflangan tuzlangan parol bilan avtorizatsiyani amalga oshiring. Ro'yxatdan o'ting, avtorizatsiyadan o'ting, hammasi ishlayotganiga ishonch hosil qiling.
