PHP e MySQL Autenticação de Usuários

Transcrição

1 PHP e MySQL Autenticação de Usuários Programação de Servidores Marx Gomes Van der Linden

2 Controle de Acesso A maioria das aplicações web envolve em algum ponto um mecanismo de controle de acesso Usuário e Senha Páginas personalizadas para cada usuário Persistência da sessão mesmo com acesso a partir de máquinas diferentes 2

3 Tabela de Usuários Uma aplicação web com suporte a controle de acesso tipicamente está associada a um banco de dados contendo uma tabela de Usuários. Esta tabela reúne todas as informações de cadastro (obrigatórias e opcionais) associadas a cada usuário. Usuário Login Senha Some DataNasc 3

4 Tabela de Usuários mysql> CREATE TABLE usuario ( -> login VARCHAR(50) PRIMARY KEY, -> senha VARCHAR(50) NOT NULL, -> nome VARCHAR(255) NOT NULL, -> datanasc DATE NOT NULL -> ); Query OK, 0 rows affected (0.00 sec) 4

5 Proteção de Senhas Senhas de usuários nunca devem ser armazenadas de maneira literal em um banco de dados Risco de segurança 5

6 Funções de Hash 6

7 Funções de Hash PHP implementa as funções de hash mais comuns: md5($string) sha1($string) hash($algoritmo, $string) (Função genérica que implementa vários algoritmos) 7

8 md5 echo md5("computer"), " <br>\n"; echo md5("computer."), " <br>\n"; 0c29bf0f928decfbf91070fa4affb0c4 <br> 1f683fe1cd7977cdd056ddc25d6bd8f8 <br> 8

9 sha1 echo sha1("computer"), " <br>\n"; echo sha1("computer."), " <br>\n"; c60266a8adad2f8ee67d793b4fd3fd0ffd73cc61<br> 3e0071cd3d867a b55d0c2457dbdd218c7<br> 9

10 Armazenando senhas Ao invés de se armazenar diretamente uma senha, deve-se armazenar o resultado de sua função hash. Quando o usuário fizer login, basta executar novamente a função hash e comparar os resultados. 10

11 11

12 12

13 Salt A melhor maneira de evitar ataques de dicionário é adicionar um "sal" (salt) a cada senha, antes de armazená-la no BD. Concatenação de strings 13

14 Estratégias para geração do salt String constante Ex.: Nome do seu sistema Informação facilmente recuperável Ex.: Nome do usuário Salt gerado aleatoriamente Mais seguro Deve ser armazenado junto com a senha 14

15 md5 $salt = 'NaCl'; echo md5($salt."computer"), " <br>\n"; echo md5($salt."computer."), " <br>\n"; ea5db c9985d5bd bb2 <br> f1428f18c51d33c5b3fe9b3d1bad5ef3 <br> 15

16 Exemplo 16

17 cadastra.php (1/3) <?php require_once('bd.php'); function myescape($str){ return mysql_real_escape_string( get_magic_quotes_gpc()? stripslashes($str) : $str ); } $login = myescape($_post['login']); $senha = $_POST['senha']; $nome = myescape($_post['nome']); $datanasc = myescape($_post['datanasc']); 17

18 cadastra.php (2/3) if(valido_login($login) and valido_senha($senha) and valido_nome($nome) and valido_datanasc($datanasc) ){ $existentes = mysql_query( "SELECT * FROM usuario WHERE login = '$login'"); if(mysql_num_rows($existentes) > 0) echo "Erro! Usuário já existente."; else realiza_cadastro(); } else echo "Erro! Dados inválidos."; 18

19 cadastra.php (3/3) function realiza_cadastro(){ global $login, $senha, $nome, $datanasc; $salt = 'meusite'.$login; $senha_hash = md5($salt. $senha); $sql = "INSERT INTO usuario (login, senha, nome, datanasc) VALUES ('$login', '$senha_hash', '$nome', '$datanasc')"; } if(mysql_query($sql)) echo "Cadastro inserido com sucesso!"; else echo "Erro ao cadastrar usuário."; 19

20 Exemplo mysql> SELECT login, senha FROM usuario; login senha batman 72cc169480b71331beee4d066420b8f row in set (0.00 sec) 20

21 Sessões PHP fornece um mecanismo de sessões persistentes. Quase todos os dados de sessões ficam armazenados no servidor. 21

22 Sessões Quando a sessão inicia, o servidor gera um ID, que é uma string alfanumérica aleatória única (PHPSESSID) para identificar o cliente. O cliente armazena a ID como um cookie. Em todas as requisições seguintes, o cliente envia ao servidor apenas o cookie referente ao seu ID. A partir dos IDs, o servidor identifica e diferencia cada cliente. 22

23 session_start() Para iniciar (ou continuar) uma sessão, basta usar a função session_start Sintaxe: session_start() Deve ser usado antes de qualquer saída do corpo da mensagem Sempre returna true 23

24 $_SESSION Para ler e configurar variáveis de sessões, utiliza-se o array $_SESSION. Não há análogo em sessões à função setcookie. 24

25 pagina.php <?php require_once('autentica.php');?> <html> <head><title>minha Página</title></head> <body> <h2>olá, <?php echo $_SESSION['nome']?> </h2> <p>você é o usuário <strong><?php echo $_SESSION['login']?></strong></p> <p><a href="logoff.php">efetuar logoff</a></p> </body> </html> 25

26 autentica.php <?php session_start(); if(!isset($_session['login'])){ require('login.php'); exit; }?> 26

27 login.php 27

28 processa_login.php (1/2) <?php session_start();?> <html> <head><title>minha Página</title></head> <body><?php require_once('bd.php'); $login = myescape($_post['login']); $senha = $_POST['senha']; $salt = 'meusite'.$login; $senha_hash = md5($salt. $senha); $sql = "SELECT * FROM usuario WHERE login = '$login' AND senha = '$senha_hash'"; $usuario = mysql_query($sql); 28

29 processa_login.php (2/2) if(mysql_num_rows($usuario) > 0){ $line = mysql_fetch_assoc($usuario); $_SESSION['login'] = $line['login']; $_SESSION['nome'] = $line['nome']; $_SESSION['datanasc'] = $line['datanasc']; } else{ echo "Erro! Senha inválida"; exit; };?></body> </html> 29

30 pagina.php <?php require_once('autentica.php');?> <html> <head><title>minha Página</title></head> <body> <h2>olá, <?php echo $_SESSION['nome']?> </h2> <p>você é o usuário <strong><?php echo $_SESSION['login']?></strong></p> <p><a href="logoff.php">efetuar logoff</a></p> </body> </html> 30

31 pagina.php 31

32 logoff.php <?php session_start(); $_SESSION = array(); if (isset($_cookie[session_name()])) { setcookie(session_name(), '', time()-42000, '/'); } session_destroy(); require('login.php');?> 32

33 Aspectos a melhorar Exibir mensagens de erro mais descritivas e melhor integradas ao layout da página. Melhorar a segurança da sessão, com controle de IP / User Agent. Personalizar a página de login O que o usuário queria fazer, estava fazendo? 33

34 Aspectos a melhorar Após o login bem-sucedido, exibir a página que o usuário tentou acessar na primeira tentativa. Controlar melhor os parâmetros da sessão. Fornecer uma sessão persistente, a pedido do usuário. Fornecer opções de alteração/exclusão de cadastro e geração de nova senha. 34