PHP: Sichere Seiten nur für Mitglieder mit einem Login-System

Herausforderungen mit dem bereitgestellten Code

Der bereitgestellte PHP-Code stößt auf mehrere Probleme, die ihn behindern Funktionalität:

1. Abruf von Abfrageergebnissen: Anstelle von $data1 = $conn->query($sql1); ist der richtige Ansatz die Verwendung von $data = mysqli_fetch_array( $conn->query($sql1)); oder $data = $conn->query($sql1)->fetch_array(); um die Abfrageergebnisse abzurufen.
2. Datenbankverbindung und -ausführung: Die Verbindung zur Datenbank sollte mit $total = $data = 0; bevor Sie Abfragen ausführen.
3. MySQLi-Syntax: Die Abfrage zum Einfügen des Tokens sollte Backticks () um Tabellen- und Spaltennamen verwenden (INSERT INTO tokens (tk, gauth) VALUES (?,? )`) anstelle von einfachen Anführungszeichen.
4. Benutzerauthentifizierung: Die Authentifizierungslogik sollte das Ergebnis der Abfrage zurückgeben, anstatt sich auf boolesche Werte zu verlassen ($result = $conn->query($ sql3)->fetch_array();).
5. Token-Generierung: Die vorhandene Token-Generierungsmethode ist nicht sicher, da sie openssl_random_pseudo_bytes() verwendet. Stattdessen sollte der Code einen kryptografisch sicheren Zufallszahlengenerator (CSPRNG) wie random_bytes() verwenden.

Vorgeschlagene Lösung

1. Datenbankoperationen vereinfachen: Verwenden Sie eine einzige Abfrage, um Benutzerinformationen abzurufen und Anmeldeinformationen zu überprüfen.
2. Verwenden Sie vorbereitete Anweisungen: Binden Sie Parameter, um SQL-Injection-Schwachstellen zu verhindern.
3. Tokens sicher generieren: Verwenden Sie random_bytes() oder eine ähnliche Funktion zur sicheren Token-Generierung.
4. Authentifizierungsdaten in Sitzung speichern: Speichern Sie das Authentifizierungstoken in einer Sitzungsvariablen anstelle eines Cookies.
5. Token validieren: Führen Sie eine Datenbankabfrage anhand der Tokentabelle durch, um das bereitgestellte Token zu validieren.

Verbesserter Code

Der folgende überarbeitete Code behebt die identifizierten Probleme und bietet ein sichereres Anmeldesystem nur für Mitglieder:

connect_error) {
        die("Connection failed: " . $conn->connect_error);
    }

    // Prepare statement for user authentication
    $sql_auth = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
    $sql_auth->bind_param("ss", $_POST['uname'], $_POST['pss']);
    $sql_auth->execute();
    $result_auth = $sql_auth->get_result();

    // Authenticate user
    if ($result_auth->num_rows > 0) {
        $user = $result_auth->fetch_assoc();
        $correct = TRUE;
    } else {
        $correct = FALSE;
    }

    // Generate token
    if ($correct === TRUE) {
        $hex = bin2hex(random_bytes(3));
        $_SESSION['auth'] = $hex;
        $_SESSION['logstat'] = TRUE;
    }

    // Close connection
    $conn->close();
?>