ユーザーがサイトを設計および保守する場合、多くの場合、特定の重要なファイルまたは情報へのアクセスを制限する必要があります。通常、WEBサーバーに組み込まれたHTTPプロトコルによるユーザー認証機構を利用できます。訪問者が保護されたページを閲覧すると、クライアント ブラウザはダイアログ ウィンドウをポップアップ表示し、ユーザー名とパスワードを入力してユーザーの身元を確認し、ユーザーがページにアクセスする権利があるかどうかを判断するように求めます。その実装原理を説明するために 2 つの方法が使用されます。
1. HTTP ヘッダーを使用して
ヘッダーを実装します。ヘッダーは、HTTP プロトコルを使用して HTML 情報をブラウザーに送信する前にサーバーによって送信される文字列です。 HTTP は、チャレンジ/レスポンス モデルを使用して、パスワードで保護された領域に入ろうとするユーザーを認証します。具体的には、ユーザーが初めて保護領域にアクセスするリクエストを WEB サーバーに送信すると、チャレンジ プロセスが開始され、サーバーはユーザーの身元が確認されていないことを示す特別な 401 ヘッダーを返します。上記の応答を検出すると、クライアント ブラウザはユーザー名とパスワードの入力を求めるダイアログ ボックスを自動的に表示します。ユーザーが入力を完了して「OK」をクリックすると、ユーザーの識別情報が検証のためにサーバーに送信されます。ユーザーが入力したユーザー名とパスワードが有効な場合、WEB サーバーはユーザーが保護領域に入るのを許可し、アクセス プロセス全体を通じてユーザーの ID の有効性を維持します。逆に、ユーザーが入力したユーザー名またはパスワードが検証できない場合、クライアントのブラウザは入力ウィンドウを継続的にポップアップ表示し、ユーザーに正しい情報を再度入力するよう求めます。ユーザーが正しい情報の場所を入力するまで、プロセス全体が続行されます。これを超えると、ユーザーのアクセス要求は自動的に拒否されます。
PHP スクリプトでは、関数 header() を使用して HTTP ヘッダーをクライアントのブラウザに直接送信します。これにより、ユーザー名とパスワードの入力ウィンドウがクライアント上に自動的にポップアップ表示され、ID 認証機能が実装されます。 PHP では、クライアント ユーザーが入力した情報は、サーバーに送信された後、3 つのグローバル変数 $PHP_AUTH_USER、$PHP_AUTH_PW、および $PHP_AUTH_TYPE に自動的に保存されます。これら 3 つの変数を使用すると、データ ファイルまたはデータベースに保存されているユーザー アカウント情報に基づいてユーザーの身元を確認できます。
ただし、ユーザーは、$PHP_AUTH_USER と $PHP_AUTH_PW はモジュールとしてインストールされた PHP でのみ使用できることに注意してください。そして 3 つの変数 $PHP_AUTH_TYPE。ユーザーが PHP を CGI モードで使用している場合、検証機能は実装できません。 PHP のモジュールのインストール方法はこのセクションの最後に添付されています。
以下では、Mysql データベースを使用してユーザーの ID を保存します。各アカウントのユーザー名とパスワードをデータベースから抽出し、$PHP_AUTH_USER 変数と $PHP_AUTH_PW 変数と比較してユーザーの信頼性を判断する必要があります。
まず、MySql でユーザー情報を保存するデータベースを作成します。
データベース名は XinXiKu、テーブル名は次のとおりです。
create table user(
ID INT(4) NOT NULL AUTO_INCREMENT、
名前 VARCHAR(8) NOT NULL、
パスワード CHAR(8) NOT NULL、
主キー(ID)
)
説明:
1. ID はゼロではなく、自動的に増加する主キーです。
2. name はユーザー名であり、空にすることはできません
。
以下はユーザー検証ファイルのログインです。php
//ユーザー名が設定されているかどうかを確認します。
if(!isset($PHP_AUTH_USER)) {
header("WWW-Authenticate:Basic realm="認証関数"");
header("HTTP/1.0 401 Unauthorized");
echo "認証に失敗しました。ネットワーク リソースを共有する権限がありません!";
出口();
}
/*データベースに接続*/
$db=mysql_connect("localhost","root","");
//データベースを選択
mysql_select_db("XinXiKu",$db);
// ユーザーが存在するかどうかを確認する
$result=mysql_query("SELECT * FROM user where name='$PHP_AUTH_USER'、password='$PHP_AUTH_PW'",$db);
if ($myrow = mysql_fetch_row($result)) {
// 以下は認証成功後の関連操作です
...
} それ以外 {
//認証が失敗したため、ユーザーに再入力を求めるプロンプトが表示されます
header("WWW-Authenticate:Basic realm="認証関数"");
header("HTTP/1.0 401 Unauthorized");
echo "認証に失敗しました。ネットワーク リソースを共有する権限がありません!";
出口();
}
?>
プログラムの説明:
プログラムでは、まず変数 $PHP_AUTH_USER が設定されているかどうかを確認します。設定されていない場合、スクリプトは HTTP 401 エラー番号ヘッダーを送信して、クライアントのブラウザに認証ウィンドウが表示され、ユーザー名と入力を求められます。入力が完了したら、接続データベースでユーザー名とパスワードが正しいかどうかを確認し、正しい場合はログインによる関連操作の実行を許可します。
関数の説明:
1. isset(): 変数に値が割り当てられているかどうかを判断するために使用されます。変数値が存在するかどうかに応じて、true または false を返します。
2. header(): 特定の HTTP ヘッダーの送信に使用されます。 header() 関数を使用する場合は、実際の出力を生成する HTML または PHP コードの前に必ずこの関数を呼び出してください。
3. mysql_connect(): MySQL サーバー接続を開きます。
4. mysql_db_query(): クエリ文字列 (クエリ) を MySQL データベースに送信します。
5. mysql_fetch_row(): 単一列の各フィールドを返します。
2. セッションを使用してサーバー検証を実装します。
認証が必要なページの場合は、Apache サーバー検証を使用するのが最適です。ただし、Apache サーバー検証のインターフェイスは十分に使いやすいものではありません。また、CGI モードの PHP および IIS 下の PHP は、Apache サーバーを使用して検証できません。このようにして、セッションを使用して異なるページ間でユーザーの ID を保存し、ID 検証を行うことができます。
バックエンドでは、上記の Mysql データベースを使用してユーザー情報を保存します。
まずユーザー ログイン インターフェイスを作成します。ファイル名はlogin.php、コードは次のとおりです:
____________________________________________________________
<form action="login1.php">
ユーザー名:<input type="text" name="name"><br>
パスワード:<input type="text" name="pass"><br>
<input type="submit" value="Login">
</form>
___________________________________________________________
login1.php は送信されたフォームを処理します。コードは次のとおりです。
$ db=mysql_connect ("ローカルホスト","ルート","");
mysql_select_db("XinXiKu",$db);
$result=mysql_query("SELECT * FROM user where name='$name'、password='$pass'",$db);
if ($myrow = mysql_fetch_row($result)) {
//ユーザーを登録する
セッション開始();
session_register("ユーザー");
$user=$myrow["ユーザー"];
// ID 検証が成功したので、関連する操作を実行します
...
} それ以外 {
echo "認証に失敗しました。ネットワーク リソースを共有する権限がありません!";
}
?>
ここで、ユーザーは後続の操作で **http://domainname/next.php?user=username** を使用して認証をバイパスできることに注意してください。したがって、以降の操作では、まず変数が登録されているかどうかを確認する必要があります。登録されている場合は、対応する操作を実行します。登録されていない場合は、不正ログインとみなされます。関連するコードは次のとおりです。
セッション開始();
if (!session_is_registered("ユーザー")){
echo "認証に失敗しました。不正なログインです!";
} それ以外 {
// ログインに成功すると、関連する操作が実行されます。
...
}
?>
付録: PHP をモジュール モードでインストールする方法
1. まず、ファイル mod_php4-4.0.1-pl2 をダウンロードします。 [PHP4 でない場合は、できるだけ早くアップグレードしてください!]
解凍すると、mod_php4.dll、mod_php4.conf、readme.txt の 3 つのファイルが存在します
。 2. 関連ファイルをコピーします
。mod_php4.dll を、モジュール ディレクトリに
コピーします。apache インストール ディレクトリ
に mod_php4.conf をコピーします。
msvcrt.dll ファイルを Apache インストール ディレクトリにコピーします。
3. conf/srm.conf ファイルを開き、「Include conf/mod_php4.conf」という
文を追加します。
これを行う前に、httpd.conf 内の CGI モードに関する設定ステートメント、つまり次のような部分を削除してください
。
AddType application/x-httpd-php4 .php
AddType application/x-httpd-php4 .php3
AddType application/x-httpd-php4 .php4
アクション application/x-httpd-php4 /php4/php.exe
PHP でより多くのサフィックスをサポートしたい場合は、問題ありません。指定された設定ファイル mod_php4.conf はすでに php、php3、および php4 の 3 つのサフィックスをサポートしています。さらに多くのサフィックスをサポートしたい場合は、このファイルを変更するだけです。
4.
<? phpinfo(); を使用してテストします。 Server API の値が cgi ではなく apache であることがわかります。また、HTTP ヘッダー情報に関する情報もあります。