:::

9-1 改寫 login()

一、改寫login()

  1. 原理說明:
    1. 先過濾並檢查變數(帳號)
    2. 拿帳號(email)到資料庫取抓取資料
    3. 若有,比對密碼是否正確,若正確,寫入session(包括姓名、群組、Email、編號)
    4. 若無,則登入失敗。
  2. 重新改寫login()變成資料庫版:
    //登入
    function login()
    {
        global $db;
        $email = $db->real_escape_string($_POST['email']);
        if (empty($email)) {
            throw new Exception("Eamil為必填!");
        }
        $email = filter_var($email, FILTER_VALIDATE_EMAIL);
        if (!$email) {
            throw new Exception("不合法的Email");
        }
    
        $pass = isset($_POST['pass']) ? $_POST['pass'] : '';
    
        $sql    = "SELECT * FROM `users` where `email`='{$email}'";
        $result = $db->query($sql);
        if (!$result) {
            throw new Exception($db->error);
        }
        $data = $result->fetch_assoc();
    
        if (password_verify($pass, $data['pass'])) {
            $_SESSION['group'] = $data['group'];
            $_SESSION['name']  = htmlspecialchars($data['name'], ENT_QUOTES);
            $_SESSION['uid']   = $data['uid'];
            $_SESSION['email'] = htmlspecialchars($data['email'], ENT_QUOTES);
        } else {
            throw new Exception("登入失敗!");
        }
    }
  3. 一樣先整理輸入的Email
  4. 利用email為唯一值的特性,讀取屬於該帳號的所有身家資料(且預計只會有一筆)。
  5. 利用 $result->fetch_assoc() 取出資料陣列,並存入$data中以便取用。其中,$data的陣列內容類似這樣:
    • $data['uid']=1;
    • $data['name']='tad';
    • $data['email']='tad@tn.edu.tw';
    • $data['pass']='xxxxx';
    • $data['group']='admin';
  6. 若是改用 $result->fetch_row() 取出資料陣列,$data的陣列內容則類似這樣(通常會搭配 list() 一起使用):
    • $data[0]=1;
    • $data[1]='tad';
    • $data[2]='tad@tn.edu.tw';
    • $data[3]='xxxxx';
    • $data[4]='admin';
  7. 利用 password_verify($pass, $data['pass']) 來檢查密碼是否正確
    1. 若正確,定義$_SESSION['group'] 及 $_SESSION['name'] 等值,表示登入。
    2. 若不正確,則丟出異常訊息。

二、修改登出

  1. 既然登入紀錄的東西已經不一樣,登出也要跟著改
    //登出
    function logout()
    {
        unset($_SESSION['group']);
        unset($_SESSION['name']);
        unset($_SESSION['uid']);
        unset($_SESSION['email']);
    }
    

三、練習:

  1. 請把要存入資料庫的值過濾、檢查部份寫成函數 clean_var(),並放到function.php中,以簡化程式。例如:
    $name = $db->real_escape_string($_POST['name']);
    if (empty($name)) {
        throw new Exception("姓名為必填!");
    }
    $email = $db->real_escape_string($_POST['email']);
    if (empty($email)) {
        throw new Exception("Eamil為必填!");
    }
    $email = filter_var($email, FILTER_VALIDATE_EMAIL);
    if (!$email) {
        throw new Exception("不合法的Email");
    }
    $pass = $db->real_escape_string($_POST['pass']);
    if (empty($pass)) {
        throw new Exception("密碼為必填!");
    }

    可簡化為

    $name  = clean_var('name', '姓名');
    $email = clean_var('email', 'Eamil', FILTER_VALIDATE_EMAIL);
    $pass  = clean_var('pass', '密碼');
  2. 參考答案:

    //檢查並傳回欲拿到資料使用的變數
    function clean_var($var = '', $title = '', $filter = '')
    {
        global $db;
        $clean_var = $db->real_escape_string($_REQUEST[$var]);
        if (empty($clean_var)) {
            throw new Exception("{$title}為必填!");
        }
        if ($filter) {
            $clean_var = filter_var($clean_var, $filter);
            if (!$clean_var) {
                throw new Exception("不合法的{$title}");
            }
        }
        return $clean_var;
    }
    

     

 


:::

書籍目錄

展開 | 闔起

http%3A%2F%2Fcampus-xoops.tn.edu.tw%2Fmodules%2Ftad_book3%2Fpage.php%3Ftbsn%3D27%26tbdsn%3D727

計數器

今天: 1475147514751475
昨天: 2198219821982198
總計: 7326333732633373263337326333732633373263337326333