Autenticação de sites com PHP e MySQL
Neste artigo pretendo mostrar uma maneira fácil, simples e segura de fazer um sistema de autenticação em PHP com MySQL. Todas as sessões são registradas em um banco de dados com o IP, data e hora de acesso, deixando um enorme histórico excelente para futuras auditorias. Procurarei detalhar o máximo possível para facilitar a compreensão do artigo.
[ Hits: 53.097 ]
Por: Djair Dutra C. Jr. em 08/12/2010
Como inserir este código nos demais arquivos do sistema?
A página sessoes.php é quem verifica se há uma sessão aberta, tendo portanto, uma função de autenticação. Mas como fazer para que estas autenticações sejam chamadas pelas demais páginas do sistema? Simples! Através do código <? include('sessoes.php'); ?> que deve estar presente na primeira linha de cada página que se deseja autenticar. Só isso!
Quando uma página restrita for acessada (pedidos.php, por exemplo), mesmo que seja digitando sua URL no navegador, esta simples linha "chama" a página sessoes.php e esta faz seu trabalho de autenticar.
Se o resultado for positivo, nada acontecerá, portanto a página volta a ser exibida normalmente. Se o resultado da autenticação for negativo a segunda linha nem chegará a ser carregada, porque o arquivo sessoes.php jogará imediatamente o cliente para a página login.php.
Não esqueça de que o comando include('sessoes.php') deve ser colocado na primeira linha de todas as páginas php.
Entenda que, quando usamos um comando include, o php faz uma pausa no arquivo atual e vai ler o arquivo contido no include. Só quando acaba de ler o arquivo do include é que ele volta a ler a segunda, terceira, quarta e demais linhas do arquivo atual.
O código é bem simples e, resumidamente, trata-se apenas de mudar o valor do campo status de ABERTA para FECHADA e gravar a hora que isso aconteceu. Simples!
Você pode colocar um link simples para esta página em qualquer ligar do seu sistema de login. A exemplo do Google coloque no canto superior direito, de forma discreta. Pode ser associado a uma imagem, de um cadeado, por exemplo.
É aconselhável colocar uma caixa de confirmação em JavaScript, perguntando se o usuário realmente deseja efetuar logoff.
Quando uma página restrita for acessada (pedidos.php, por exemplo), mesmo que seja digitando sua URL no navegador, esta simples linha "chama" a página sessoes.php e esta faz seu trabalho de autenticar.
Se o resultado for positivo, nada acontecerá, portanto a página volta a ser exibida normalmente. Se o resultado da autenticação for negativo a segunda linha nem chegará a ser carregada, porque o arquivo sessoes.php jogará imediatamente o cliente para a página login.php.
Não esqueça de que o comando include('sessoes.php') deve ser colocado na primeira linha de todas as páginas php.
Entenda que, quando usamos um comando include, o php faz uma pausa no arquivo atual e vai ler o arquivo contido no include. Só quando acaba de ler o arquivo do include é que ele volta a ler a segunda, terceira, quarta e demais linhas do arquivo atual.
Criando o Logoff
Já que temos a autenticação toda pronta, agora vamos criar um arquivo chamado logoff.php que será responsável por encerrar a sessão. Este recurso é apenas um cuidado a mais, porque na verdade, quando o usuário fecha o navegador a sessão é encerrada, mas pode acontecer casos em que ele queira encerrar a conexão, mas também continuar com seu navegador aberto.O código é bem simples e, resumidamente, trata-se apenas de mudar o valor do campo status de ABERTA para FECHADA e gravar a hora que isso aconteceu. Simples!
<? # Inicia uma sessão. Esta deve ser obrigatoriamente a primeira linha do arquivo.
session_start();
?>
<? #Grava o número da sessão criada numa variável, chamada $sessid.
$sessid = session_id();
?>
# Guarda a data numa variável, no formato do MySql (AAAA-MM-DD)
$hoje_data = date("Y-m-d");
# Guarda a Hora numa variável
$hoje_hora = date("H:i:s");
# Faz a conexão com o banco de dados
$conexao = mysql_connect('localhost', 'root', 'minhasenha');
mysql_select_db('nome_do_bd', $conexao);
# Seleciona o registro referente a sessão atual
# Muda o campo status para FECHADA
# Informa a data e hora de fechamento
mysql_query("UPDATE sessoes SET status=FECHADA', datafecha='$hoje_data', horafecha='$hoje_hora' WHERE sessao='$sessid'", $conexao);
# Destrói as sessões
session_unset();
session_destroy();
# Redireciona o cliente para a tela de login
header("Location: login.php");
?>
session_start();
?>
<? #Grava o número da sessão criada numa variável, chamada $sessid.
$sessid = session_id();
?>
# Guarda a data numa variável, no formato do MySql (AAAA-MM-DD)
$hoje_data = date("Y-m-d");
# Guarda a Hora numa variável
$hoje_hora = date("H:i:s");
# Faz a conexão com o banco de dados
$conexao = mysql_connect('localhost', 'root', 'minhasenha');
mysql_select_db('nome_do_bd', $conexao);
# Seleciona o registro referente a sessão atual
# Muda o campo status para FECHADA
# Informa a data e hora de fechamento
mysql_query("UPDATE sessoes SET status=FECHADA', datafecha='$hoje_data', horafecha='$hoje_hora' WHERE sessao='$sessid'", $conexao);
# Destrói as sessões
session_unset();
session_destroy();
# Redireciona o cliente para a tela de login
header("Location: login.php");
?>
Você pode colocar um link simples para esta página em qualquer ligar do seu sistema de login. A exemplo do Google coloque no canto superior direito, de forma discreta. Pode ser associado a uma imagem, de um cadeado, por exemplo.
É aconselhável colocar uma caixa de confirmação em JavaScript, perguntando se o usuário realmente deseja efetuar logoff.
Páginas do artigo
1. Entendendo como as coisas funcionam2. Criando o banco de dados e as tabelas necessárias
3. Criando os primeiros arquivos em PHP
4. Protegendo cada arquivo individualmente
5. Criando o arquivo sessoes.php
6. Como inserir este código nos demais arquivos do sistema?
7. Finalizando (Dicas e maiores detalhes sobre o artigo)
Outros artigos deste autor
Cópia completa do HD - cluster por cluster
Personalizando o Ubuntu 9.04 com Screenlets
O que ainda falta pra você abandonar o Windows de vez?
Leitura recomendada
Introdução a manipulação de erros em PHP
Dicas básicas de segurança no PHP
PHP: Programando com segurança
Criptografia do método GET no PHP
Comentários
[1] Comentário enviado por marcrock em 09/12/2010 - 01:52h
Ótimo artigo !!!
Quanto aos arquivos com outras estensões que não php, não existe uma opção que faça o php processar todo e qualquer tipo de arquivo ? Seria meio que um disfarce para o arquivo onde o php intercepta o carregamento e faz todas as verificações como se quele fosse um arquivo php real.
Até mais.
Ótimo artigo !!!
Quanto aos arquivos com outras estensões que não php, não existe uma opção que faça o php processar todo e qualquer tipo de arquivo ? Seria meio que um disfarce para o arquivo onde o php intercepta o carregamento e faz todas as verificações como se quele fosse um arquivo php real.
Até mais.
[2] Comentário enviado por sergiogurgel em 09/12/2010 - 11:34h
Não consegui executar. Ele não sai da tela de login Posso lhe enviar o meu projeto para você verificar o por que de não funcionar?
Obrigado.
Não consegui executar. Ele não sai da tela de login Posso lhe enviar o meu projeto para você verificar o por que de não funcionar?
Obrigado.
[3] Comentário enviado por malacker em 09/12/2010 - 13:20h
Caro marcrock,
Existe uma maneira de impedir que certos arquivos sejam visualizados pelo apache. No arquivo de configuração do apache, você pode inserir a regra abaixo, mas como trata-se de um remédio para uma doença que pode ser evitada, acho melhor prevenir (usando só arquivos .php) do que ter que tomar o remédio.
Mas se seu caso exige que seja feita esta medida, espero que este código possa ajudar:
# Impedindo a visualização de arquivos .inc
<Files *.inc>
Order deny,allow
deny from all
</Files>
Se deseja, pode colocar vários arquivos simultaneamente na mesma regra.
# Impedindo a visualização de vários arquivos simultaneamente.
<FilesMatch "\.(gif|jpe?g|bmp|png)$">
Order deny,allow
deny from all
</FilesMatch>
Caro marcrock,
Existe uma maneira de impedir que certos arquivos sejam visualizados pelo apache. No arquivo de configuração do apache, você pode inserir a regra abaixo, mas como trata-se de um remédio para uma doença que pode ser evitada, acho melhor prevenir (usando só arquivos .php) do que ter que tomar o remédio.
Mas se seu caso exige que seja feita esta medida, espero que este código possa ajudar:
# Impedindo a visualização de arquivos .inc
<Files *.inc>
Order deny,allow
deny from all
</Files>
Se deseja, pode colocar vários arquivos simultaneamente na mesma regra.
# Impedindo a visualização de vários arquivos simultaneamente.
<FilesMatch "\.(gif|jpe?g|bmp|png)$">
Order deny,allow
deny from all
</FilesMatch>
[4] Comentário enviado por reyfernandes em 09/12/2010 - 18:29h
Vou fazer um comentário sem ler completamente seu artigo, li apenas o código do login.php.
Parece que você está com o register_globals no php.ini ligado, fazendo com que qualquer variável enviada por post ou get se torne uma variável no script, ficando fácil burlar o sistema.
pelo que li, talvez acessando:
http://seusite.com.br/login.php?codcliente=1&consulta_email=teste@email.com&cara=teste@email.com&con...
você consiga autorização para sua sessão, podendo navegar em qualquer página php.
Se puder testar e comentar se conseguiu acesso.
Vou fazer um comentário sem ler completamente seu artigo, li apenas o código do login.php.
Parece que você está com o register_globals no php.ini ligado, fazendo com que qualquer variável enviada por post ou get se torne uma variável no script, ficando fácil burlar o sistema.
pelo que li, talvez acessando:
http://seusite.com.br/login.php?codcliente=1&consulta_email=teste@email.com&cara=teste@email.com&con...
você consiga autorização para sua sessão, podendo navegar em qualquer página php.
Se puder testar e comentar se conseguiu acesso.
[5] Comentário enviado por mago_dos_chats em 09/12/2010 - 20:30h
Bom la vai meu comentario, na página de login você fez a verificação se as variaveis que o cara esta enviando de user e passwd estão em branco, mais se o cara fizer um sql injection?
Pelo jeito que esta seu sistema simplesmente vai bugar e mostrar a estrutura do banco toda.
Sugiro que você valide melhor seu formulário porque como ja dizia aquele ditado de programação .." se entrar lixo, sai lixo.".
Blz.. abraço cara
Bom la vai meu comentario, na página de login você fez a verificação se as variaveis que o cara esta enviando de user e passwd estão em branco, mais se o cara fizer um sql injection?
Pelo jeito que esta seu sistema simplesmente vai bugar e mostrar a estrutura do banco toda.
Sugiro que você valide melhor seu formulário porque como ja dizia aquele ditado de programação .." se entrar lixo, sai lixo.".
Blz.. abraço cara
[6] Comentário enviado por malacker em 10/12/2010 - 12:03h
Não acredito que seja tão fácil burlar este login atravé de técnicas de sql injection porque o php criptografa (MD5) a variável recebida como senha e só depois a insere no banco de dados. Desta forma, qualquer coisa digitada no campo senha não será inserido literalmente no banco de dados, assim como a maioria das técnicas de sql injection.
Depois ele verifica se encontrou apenas só um cliente e só se isso for verdadeiro é que ele "loga" o cara.
O código ainda pode ser melhorado, sim (coisa que eu não fiz). Podemos colocar um "else" após o "if" que verifica se foi encontrado um só registro. Desta forma, dentro desse else, poderíamos zerar a variável $codcliente. Se o cara tentar um ataque por GET ou POST definindo um número para a variável $codcliente, o "if" trataria de zerar esta variável. É uma boa medida de segurança que deixei passar despercebida. Agradeço a quem contribuir.
Não acredito que seja tão fácil burlar este login atravé de técnicas de sql injection porque o php criptografa (MD5) a variável recebida como senha e só depois a insere no banco de dados. Desta forma, qualquer coisa digitada no campo senha não será inserido literalmente no banco de dados, assim como a maioria das técnicas de sql injection.
Depois ele verifica se encontrou apenas só um cliente e só se isso for verdadeiro é que ele "loga" o cara.
O código ainda pode ser melhorado, sim (coisa que eu não fiz). Podemos colocar um "else" após o "if" que verifica se foi encontrado um só registro. Desta forma, dentro desse else, poderíamos zerar a variável $codcliente. Se o cara tentar um ataque por GET ou POST definindo um número para a variável $codcliente, o "if" trataria de zerar esta variável. É uma boa medida de segurança que deixei passar despercebida. Agradeço a quem contribuir.
[7] Comentário enviado por mago_dos_chats em 10/12/2010 - 18:58h
Sim malacker, com o MD5 o o usuario não vai ver qual a senha salva no banco, mais não acha que seria necessário proteger como seu banco esta estruturado? Legal o script para inicio, vai melhorando ele.
Sim malacker, com o MD5 o o usuario não vai ver qual a senha salva no banco, mais não acha que seria necessário proteger como seu banco esta estruturado? Legal o script para inicio, vai melhorando ele.
[8] Comentário enviado por Allthe em 10/12/2010 - 19:39h
Olá a todos,
Eu alterei o meu código assim:
exten => xxxx,1,Answer ;
exten => xxxx,n,Set(DB(test/count)=1234)
exten => xxxx,n,Set(COUNT=${DB(test/count)})
exten => xxxx,n,Authenticate(${COUNT}) ;
A questão é a seguinte como carreguei a variável test/count=1234. Como posso agora encontra-la no Mysql de modo a altera-la via Mysql?
Alguém pode dar uma ajuda?
Olá a todos,
Eu alterei o meu código assim:
exten => xxxx,1,Answer ;
exten => xxxx,n,Set(DB(test/count)=1234)
exten => xxxx,n,Set(COUNT=${DB(test/count)})
exten => xxxx,n,Authenticate(${COUNT}) ;
A questão é a seguinte como carreguei a variável test/count=1234. Como posso agora encontra-la no Mysql de modo a altera-la via Mysql?
Alguém pode dar uma ajuda?
[9] Comentário enviado por reideer em 12/12/2010 - 10:41h
Dicas:
nunca faça o que você fez.
#reyfernandes está corretissímo.
além do que, você trata a senha encriptando ela, porém o email ta passando livre livre para injections.
coisa simples a se fazer, sempre que adicionar uma variável a sentença sql, passe o conteúdo pela função addslashes antes. Não resolve todos os problemas, mas não deixa tão na cara o rombo na segurança. Do jeito que está tá na cara do gol.
Dicas:
nunca faça o que você fez.
#reyfernandes está corretissímo.
além do que, você trata a senha encriptando ela, porém o email ta passando livre livre para injections.
coisa simples a se fazer, sempre que adicionar uma variável a sentença sql, passe o conteúdo pela função addslashes antes. Não resolve todos os problemas, mas não deixa tão na cara o rombo na segurança. Do jeito que está tá na cara do gol.
[10] Comentário enviado por chinlap em 11/03/2011 - 14:39h
Eu li e re-li esse tutorial, fiz o passo-a-passo mas está dando erros nos arquivos. No arquivo sessoes da erro na linha numero 42, e no arquivo login aparece um erro na linha 24. eu não entendo quase nada de php, estou começando nessa area, como concerto esses arquivos? oq devo fazer? me ajudem por favor amigos.
até mais
OBS: esse script funciona também em php5?
Obrigado.
Eu li e re-li esse tutorial, fiz o passo-a-passo mas está dando erros nos arquivos. No arquivo sessoes da erro na linha numero 42, e no arquivo login aparece um erro na linha 24. eu não entendo quase nada de php, estou começando nessa area, como concerto esses arquivos? oq devo fazer? me ajudem por favor amigos.
até mais
OBS: esse script funciona também em php5?
Obrigado.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
SysAdmin ou DevOps: Qual curso inicial pra essa área? (3)
É cada coisa que me aparece! - não é só 3% (3)
Melhorando a precisão de valores flutuantes em python[AJUDA] (5)
Top 10 do mês
-
Xerxes
1° lugar - 67.063 pts -
Fábio Berbert de Paula
2° lugar - 50.699 pts -
Buckminster
3° lugar - 18.015 pts -
Mauricio Ferrari
4° lugar - 15.762 pts -
Alberto Federman Neto.
5° lugar - 14.665 pts -
Diego Mendes Rodrigues
6° lugar - 13.329 pts -
Daniel Lara Souza
7° lugar - 12.869 pts -
edps
8° lugar - 11.441 pts -
Andre (pinduvoz)
9° lugar - 11.086 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.069 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
