¿Cuál es la mejor manera de crear una página de inicio de sesión de PHP?

Question

Soy bastante nuevo en PHP y estoy buscando algunas mejores prácticas sobre cómo implementar la autenticación en PHP.

Soy un evangelista para Adobe y una de las cosas que me molesta es cuando las personas usan Flex/Flash para la pantalla de inicio de sesión. Así que quiero hacer una publicación de blog/ejemplo sobre el uso de una página de inicio de sesión HTML/PHP y luego pasar la información de la sesión a Flex, después de que se haya establecido la sesión.

Todavía estoy entendiendo exactamente lo que PHP necesita para crear una sesión válida y cómo se establecen las cookies. Entonces, los ejemplos o la información que específicamente se relacionan con eso serían muy útiles.

Gracias de antemano,

= Ryan ryan@adobe.com

Answer 1

Como se ha dicho, crear un sistema de autenticación robusto y seguro en PHP es bastante fácil, pero los fundamentos son fáciles de comprender.

Lo primero que debe hacer es llamar al session_start(). Una vez que haya hecho esto se puede conseguir y variables de sesión definido con el $_SESSION superglobal:

session_start(); 
$_SESSION['foo'] = $foo; 
$bar = $_SESSION['bar']; 

Una vez que haya hecho esto se puede establecer datos de acceso para el usuario actual en un registro de éxito en y hacer que persisten sobre páginas (recuerde llamar al session_start antes de usarlas). Además, se debe llamar al session_start antes de enviar cualquier contenido al navegador.

Sin embargo, existen cuestiones de seguridad que deben tenerse en cuenta, como la fijación de sesiones y el robo de cookies. Un enfoque para la fijación de sesiones, por ejemplo, es regenerar la ID de la sesión del usuario al elevar los privilegios usando PHP session_regenerate_id (o algo así).

El PHP Security Consortium tiene mucha información útil.

Las cookies se pueden manipular utilizando la función setcookie.

Answer 2

Eso es un tema bastante amplio. Sin embargo, una buena comprensión de las sesiones/cookies sería una buena base. Deberías echarle un vistazo al Chris Shiflett's blog; tiene muchas buenas publicaciones sobre estos temas.

soy un evangelista de Adobe y una de las cosas que me molesta es cuando la gente usa Flex/Flash para la pantalla de inicio de sesión. Así que quiero hacer una publicación de blog/ejemplo sobre el uso de una página de inicio de sesión HTML/PHP y luego pasar la información de la sesión a Flex, después de que se haya establecido la sesión.

No estoy del todo seguro de su objetivo aquí. ¿Necesita el componente Flash para autenticar al usuario? Como se trata de una tecnología del lado del cliente, dicha autenticación tendría un alcance limitado.

Answer 3

Vuelca PHP y entra en ASP.NET. Todo esto ya está hecho, junto con los detalles de seguridad y membresía. =)

Answer 4

Crear nombre de usuario.php página con un formulario algo como:

<form method="post" action="login.php"> 
<input type="text" name="username"> 
<input type="password" name="password"> 
<input type="submit" name="submLogin"> 
</form> 

Publique sus lógica php:

<? 
if(isset($submLogin)) 
{ 
$username = $_POST['username']; 
$password = $_POST['password']; 

// run checks on vars not to pass on silly data + escape chars 

$query_login = 'SELECT * FROM users 
WHERE username = ' . $username . ' AND password = ' . $password . ' LIMIT 1'; 
$login = mysql_query($query_login, $db_connection) or die(); 
$login_result = mysql_num_rows($login); 

if($login_result == 1) 
{ 
    // success 
    session_start(); 
    $_SESSION['logged_in'] = TRUE; 
    // redirect somewhere, set cookies, do whatever you want to do on success 
} 
else 
{ 
    // fail 
    // display error or redirect 
} 
} 
?> 

$ db_connection variable es el identificador de enlace - resultado de mysql_connect() o mysql_pconnect()