Функция create_account() вставляет новую запись в таблицу user. Эта функция может быть вызвана только в случае, если была нажата кнопка Отправить, созданная в функции register_form(). В результате массив $_POST будет заполнен значения+ ми, которые затем можно будет использовать:
function create_account() { $userid = $_POST['userid']; $username = $_POST['username'];
error_message("Повторно введенный пароль не совпадает с первоначально введенным!");
}
Затем создается подключение к базе данных и вызывается функция in_use() для проверки уникальности введенного пользователем идентификатора (так как иденти+ фикатор используется в качестве первичного ключа):
$link_id = db_connect($default_dbname);
if(in_use($userid)){
error_message("Идентификатор $userid уже используется. Пожалуйста, выберите другой идентификатор.");
}
При вставке данных нового пользователя в поле usernumber передается NULL, чтобы увеличить последнее значение в этом поле на 1. Кроме того, используется сер+ верная функция password() для шифрования введенного пользователем пароля:
$query = "INSERT INTO user VALUES(NULL, '$userid', password('$userpassword'), '$username', '$userposition', '$useremail', '$userprofile')";
$result = mysql_query($query); if(!$result){
error_message(sql_error());
}
С помощью функции mysql_insert_id() определяется только что созданный номер пользователя:
Наконец используется параметр action для определения того, какую функцию необходимо вызвать. В случае если массив $_POST не заполнен, параметру action следует присвоить значение по умолчанию, которое приводит к вызову функции registеr_form():
Использование PHP для управления информацией в базах данных MySQL 465
Рассмотрим работу данного сценария в действии. Сначала функция register_form() выводит HTML+форму (рис. 11.7), в которую пользователь вводит свои данные.
Рис. 11.7.
Затем пользователь может ввести свои данные, если сочтет нужным. На последнем этапе сценарий отображает сообщение о создании учетной записи и таблицу, в кото+ рой показана введенная пользователем информация, использованная для создания учетной записи. На рис. 11.8 показана страница с сообщением о создании учетной за+ писи для пользователя Darren.
Следует признать, что отображение пароля после создания учетной записи ++++++ не очень хорошая идея. Относительно безопасный способ подтвердить данную инфор+ мацию ++++++ включить ее в e+mail+сообщение, которое отправляется пользователю, соз+ давшему учетную запись.
Итак, PHP можно использовать для добавления пользователей в базу данных сайта. Очевидно, что при расширении сценария или его интеграции в существующий сайт, возможно, придется добавить дополнительные кнопки, направляющие пользователя на другие страницы после подтверждения регистрации. Однако для учебных целей нынешней реализации сценария вполне достаточно.
Теперь рассмотрим протоколирование пользовательской активности на сайте.
466 Глава 11
Рис. 11.8.
Создание сценария для протоколирования посещений страниц
Чтобы отслеживать активность пользователей на сайте, нужно знать, кто сделал тот или иной запрос. Для этого пользователей необходимо регистрировать. Регист+ рация дает возможность идентифицировать пользователей, запрашивающих какие+ либо Web+страницы.
Самый удобный способ аутентификации пользователей заключается в том, чтобы присвоить каждому пользователю уникальный идентификатор и пароль. Когда поль+ зователь входит в защищенную паролем область сайта, все что нужно сделать, это сверить введенные пользователем значения (имя пользователя и пароль) со значе+ ниями, хранящимися в базе данных.
Следующий сценарий для аутентификации пользователя выполняет запрос к таб+ лице user. Код начинается с подключения файла common_db.inc и создания ссылки на страницу регистрации:
Использование PHP для управления информацией в базах данных MySQL 467
Файл auth_user.php
Затем определяются функции auth_user()и login_form(), которые рассмат+ риваются позднее, но основная часть сценария начинается с вызова функции session_start(). Необходимо сохранить введенные пользователем значения иден+ тификатора и пароля, а также переменные сеанса, чтобы избавить пользователя от необходимости заново вводить эти значения каждый раз при посещении других страниц сайта.
Если переменная $_POST['userid'] не была проинициализирована, то вызыва+ ется функция login_form(), отображающая форму входа на сайт, в которую пользо+ ватель может ввести свой идентификатор и пароль:
if(!isset($_POST['userid'])) { login_form();
exit;
Если переменная $userid определена (а это возможно в том случае, когда сцена+ рий был вызван из формы входа), то переданные пользователем значения для иден+ тификатора (в HTML+форме поле userid) и пароля (userpassword) регистрируют+ ся как переменные сеанса для дальнейшего использования и передаются в качестве аргументов функции auth_user():
Функция auth_user() может возвращать одно из двух значений:
имя пользователя, которое хранится в таблице user; оно возвращается, только если переданные значения идентификатора и пароля совпадают со значения+ ми, сохраненными в определенной записи таблицы;
если совпадение не найдено, то функция возвращает 0.
Возвращенное функцией auth_user() значение сохраняется в переменной $username и используется для формирования ответа:
Если попытка аутентификации оказалась неудачной, необходимо разрегистрировать переменные сеанса, и гарантировать, таким образом, что в случае, когда неавторизо+ ванный пользователь попытается войти в защищенную паролем область сайта, будет
468 Глава 11
вызвана функция login_form(). Функция login_form() представляет собой HTML+ таблицу, которая позволяет пользователю ввести идентификатор и пароль, чтобы впоследствии эти значения можно было использовать в функции auth_user():
Основа сценария находится в функции auth_user(), которая принимает два ар+ гумента ++++++ переменные $userid и $userpassword ++++++ и сверяет их значения со зна+ чениями, сохраненными в таблице user:
function auth_user($userid, $userpassword)
{
global $default_dbname, $user_tablename;
$link_id = db_connect($default_dbname);
После подключения к базе данных выбирается запись, в которой значения полей userid и password соответствуют значениям, введенным пользователем, и извлека+ ется значение поля username этой записи:
$query = "SELECT username FROM $user_tablename WHERE userid = '$userid' AND userpassword = password('$userpassword')";
$result = mysql_query($query);
Использование PHP для управления информацией в базах данных MySQL 469
Если ни в одной из записей нет обоих совпадающих критериев, то возвращается 0; в противном случае выбирается и возвращается имя пользователя:
Необходимо удостовериться, что значение $userpassword зашифровано до срав+ нения со значением в таблице user, для того чтобы сравнивать два зашифрованных значения, возвращенных одним и тем же процессом, и, следовательно, идентичных. Не все типы шифрования позволяют это сделать, но алгоритм шифрования в MySQL является односторонним. Иначе говоря, две идентичных строки при данном алго+ ритме всегда дают две идентично зашифрованные строки.
На рис. 11.9 показано, как должен выглядеть интерфейс.
Рис. 11.9.
Когда пользователь успешно входит в систему, появляется приветствие (рис. 11.10).
Файл access_logger.php
Последний сценарий можно улучшить так, чтобы он авторизовал пользователей и про+ токолировал их визиты на Web+страницы сайта. Назовем эту модифицированную версию access_logger.php. Регистрировать посещения страниц следует путем автоматического подключения файла access_logger.php в начало всех Web+страниц сайта. Это можно сделать очень просто: установив параметр auto_prepend_file в конфигурационном файле php.ini равным абсолютному пути к данному сценарию. Например:
auto_prepend_file = /home/james/access_logger.php
470 Глава 11
Рис. 11.10.
Другой вариант состоит в подключении протоколирующего сценария в начало ка+ ждой Web+страницы, находящейся в защищенной паролем области сайта. Сценарий должен подключаться в начале каждой страницы, до отправки каких+либо HTML+ тегов или текста, в противном случае функция header() не будет работать.
Предположим, что используется первый подход, и для подключения сценария ко всем .php+страницам на сервере устанавливается параметр auto_prepend_file. Чтобы исключить в таком случае некоторые файлы и каталоги из процесса аутенти+ фикации, можно перечислить их соответственно в двух массивах. Когда пользователь пытается зайти на какую+либо страницу, сценарий протоколирования может сверять имя страницы и путь к ней с элементами массивов и требовать аутентификации толь+ ко в том случае, если совпадений не найдено.
Начнем с подключения файла common_db.inc и определения массивов исключе+ ний и имен таблиц:
Когда пользователь регистрируется на сайте, можно начать сеанс и зарегистриро+ вать в качестве переменной сеанса идентификатор этого пользователя. Впоследствии идентификатор и пароль пользователя будут использоваться в функции do_authenticate(). При первой инициализации сеанса и регистрации его пере+ менных переменные для имени пользователя и пароля не содержат значений, поэто+ му необходимо проверить, записана ли страница в список исключений. Если страница в списке исключений не значится, то вызывается функция do_authenticate():
session_start(); session_register('userid', 'userpassword'); if (!$_SESSION['userid']){
Использование PHP для управления информацией в базах данных MySQL 471
if ($i == (count($exclude_files) - 1)){ do_authentication();
$auth_done = 1; break;
}
}
}
if($auth_done){ break;
}
}
}
?>
Рассмотрим отслеживание посещений страниц пользователем, который уже заре+ гистрировался на сайте и передал свой идентификатор и пароль. Снова вызывать функцию do_authenticate(), конечно, нежелательно. Однако известно, что если пользователь успешно зарегистрировался на сайте, то переменные сеанса, в которых хранится идентификатор и пароль пользователя, проинициализированы, поэтому можно использовать следующий код:
if ($_SESSION['userid'] && $_SESSION['userpassword']){ $userid = $_SESSION['userid'];
