netbeans.apache.org/src/content/kb/docs/php/wish-list-lesson5_zh_CN.asciidoc

// 
//     Licensed to the Apache Software Foundation (ASF) under one
//     or more contributor license agreements.  See the NOTICE file
//     distributed with this work for additional information
//     regarding copyright ownership.  The ASF licenses this file
//     to you under the Apache License, Version 2.0 (the
//     "License"); you may not use this file except in compliance
//     with the License.  You may obtain a copy of the License at
// 
//       http://www.apache.org/licenses/LICENSE-2.0
// 
//     Unless required by applicable law or agreed to in writing,
//     software distributed under the License is distributed on an
//     "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY
//     KIND, either express or implied.  See the License for the
//     specific language governing permissions and limitations
//     under the License.
//

= 使用 PHP 创建数据库驱动的应用程序
:jbake-type: tutorial
:jbake-tags: tutorials 
:jbake-status: published
:icons: font
:syntax: true
:source-highlighter: pygments
:toc: left
:toc-title:
:description: 使用 PHP 创建数据库驱动的应用程序 - Apache NetBeans
:keywords: Apache NetBeans, Tutorials, 使用 PHP 创建数据库驱动的应用程序

= 第 5 课：添加安全功能。实现应用程序用户登录
:jbake-type: tutorial
:jbake-tags: tutorials 
:jbake-status: published
:icons: font
:syntax: true
:source-highlighter: pygments
:toc: left
:toc-title:
:description: 第 5 课：添加安全功能。实现应用程序用户登录 - Apache NetBeans
:keywords: Apache NetBeans, Tutorials, 第 5 课：添加安全功能。实现应用程序用户登录


在本课中，将为许愿者实现登录功能。这会影响以下文件：

*  `index.php` 
*  `createNewWisher.php` 
*  `editWishlist.php` 
*  `db.php` 

实现登录功能包括以下步骤：

1. <<_saving_the_wisher_s_id_in_the_session_upon_creation,在创建许愿者后，在会话中保存许愿者 ID>>
2. <<_validating_user_logon,验证尝试编辑愿望列表的用户是否登录>>
3. <<_html_form_for_logon_on_index_php,许愿者从 index.php 页中登录>>

当前文档是“在适用于 PHP 的 NetBeans IDE 中创建 CRUD 应用程序”教程的一部分。

[[_application_source_code_from_the_previous_lesson]]
== 来自上一课的应用程序源代码

MySQL 用户：单击link:https://netbeans.org/files/documents/4/1930/lesson4.zip[+此处+]以下载源代码，该代码反映了在完成上一课之后的项目状态。

Oracle 数据库用户：单击link:https://netbeans.org/projects/www/downloads/download/php%252Foracle-lesson4.zip[+此处+]以下载源代码，该代码反映了在完成上一课之后的项目状态。

[[_saving_the_wisher_s_id_in_the_session_upon_creation]]
== 创建后在会话中保存许愿者 ID

link:http://us2.php.net/manual/en/ref.session.php[+会话+]是持久性存储，可用于将信息从一个页面传输到另一个页面，而无需使用 link:wish-list-lesson5.html#htmlForm[+HTML 输入窗体+]。可通过预定义的 PHP 数组  `$_SESSION`  支持该功能。

为安全起见，在创建新的许愿者后，该许愿者将自动登录而无需填写窗体。因此，您需要修改  `createNewWisher.php`  文件以实现以下功能：

* 将新许愿者添加到数据库中。
* 打开会话。
* 在会话中存储许愿者的名字。
* 在将许愿者重定向到  `editWishList.php`  页时，传输会话中的许愿者名字。

在  `createNewWisher.php`  文件中，找到以下行：


[source,php]
----

WishDB::getInstance()->create_wisher($_POST['user'], $_POST['password']);
----

然后，在其下输入以下代码块：


[source,php]
----

session_start();
$_SESSION['user'] = $_POST['user'];
----

该代码块启动一个会话，这意味着打开  `$_SESSION`  数组以输入或检索数据。然后，该代码在  `$_SESSION`  数组中添加一个元素。添加的元素包含一个值和标识符（键）。该值是新创建的许愿者名字，标识符是 "user"。然后，程序将许愿者重定向到  `editWishList.php`  页。

[[_validating_user_logon]]
== 验证用户登录

当用户访问  `editWishList.php`  页时，应用程序应确认刚才在  `createNewWisher.php`  页上注册的同一个人访问了该页。

实现该功能包括两个步骤：

* <<_retrieving_the_wisher_s_name_from_the_session,从会话中检索许愿者的名字>>
* <<_logging_in_from_the_index_php_page,如果从会话中检索许愿者名字失败，将用户重定向到 index.php>>

[[_retrieving_the_wisher_s_name_from_the_session]]
=== 从会话中检索许愿者的名字

将  `editWishList.php`  的 PHP 块中的默认代码替换为以下内容：

[source,php]
----

session_start();
if (array_key_exists("user", $_SESSION)) {
  echo "Hello " . $_SESSION['user'];
}
----

该代码块打开  `$_SESSION`  数组以检索数据，并验证  `$_SESSION`  是否包含具有 "user" 标识符的元素。如果检查成功，该代码将输出欢迎消息。

检查是否正确实现会话：

1. 运行  `createNewWisher.php`  文件，然后创建一个新的许愿者，例如，Jack。
 `editWishList.php`  打开，并显示 Hello Jack。

[start=2]
. 在浏览器中清除会话 Cookie，或者结束会话并从 IDE 中运行  `editWishList.php` 。
 `editWishList.php`  文件打开并显示 Hello，因为没有通过会话传输任何用户。这是不正确的，因为它允许未登录和未注册的人创建或编辑愿望列表。为了避免出现该问题，需要将用户重定向到  `index.php`  页。

[[_logging_in_from_the_index_php_page]]
=== 重定向未登录的用户

将以下代码块添加到  `editWishList.php`  中的  `if`  子句之下：

[source,php]
----

else {
  header('Location: index.php');
  exit;
}
----

该代码将用户重定向到 index.php 页并取消 PHP 代码执行。

要检查是否正确实现了该功能，请运行  `editWishList.php`  文件。预期的结果是打开  `index.php`  页。

[[_html_form_for_logon_on_index_php]]
== 从 index.php 页中登录

从 index.php 页中登录包括两个步骤：

* <<_html_form_for_logon_on_index_php,在 HTML 输入窗体中输入用户的名字和口令，并将用于验证的数据提交到 index.php 页。>>
* <<_logon_validation,验证登录>>

[[_html_form_for_logon_on_index_php]]
=== 用于在 index.php 上登录的 HTML 窗体

在  `index.php`  文件中，在结束  `</body>`  标记前输入以下代码：

[source,xml]
----

<form name="logon" action="index.php" method="POST" >
  Username: <input type="text" name="user">
  Password  <input type="password" name="userpassword">
  <input type="submit" value="Edit My Wish List">
</form>
----

*注：*您可以忽略来自 HTML 验证器的警告。

该代码显示一个 link:wish-list-lesson3.html#htmlForm[+HTML 窗体+]，用于在文本字段中输入用户的名字和口令。当用户单击 "Edit My Wish List" 时，数据将传输到同一页，即 index.php。

[[_logon_validation]]
=== 登录验证

登录验证包括：

* <<_logon_validation,检查从中重定向用户的位置>>。
* <<_logon_validation,验证用户的名字和口令>>。
* 将用户名保存到会话中并将用户重定向到 editWishList.php 页或<<_logon_validation,显示一条错误消息。>>

用户可以在启动应用程序时访问  `index.php`  页，从 <<_function_verify_wisher_credentials,editWishList.php>> 页中进行访问，或者在输入名字和口令后从  `index.php`  页中重定向时访问该页。

由于仅在最后一种情况下使用 link:http://www.htmlcodetutorial.com/forms/_FORM_METHOD.html[+HTML 请求方法+] POST，因此，您始终可以了解用户访问  `index.php`  时所在的位置。

在 index.php 文件中，使用以下代码在 HTML 块上面创建一个 <?php ?> 块：

[source,php]
----

<?php
require_once("Includes/db.php");
$logonSuccess = false;

// verify user's credentials
if ($_SERVER['REQUEST_METHOD'] == "POST") {
    $logonSuccess = (WishDB::getInstance()->verify_wisher_credentials($_POST['user'], $_POST['userpassword']));
    if ($logonSuccess == true) {
      session_start();
      $_SESSION['user'] = $_POST['user'];
      header('Location: editWishList.php');
      exit;
    }
}
?>
----

代码块顶部允许使用  `db.php`  文件，并使用  `false`  值初始化  `$logonSuccess`  变量。如果验证成功，该值将变为  `true` 。

验证用户凭证的代码先检查请求方法是否为 POST。如果请求方法是 POST，则在提交<<_html_form_for_logon_on_index_php,登录窗体>>后重定向用户。在这种情况下，代码块使用在登录窗体中输入的名字和口令调用  `verify_wisher_credentials`  函数。

 `verify_wisher_credentials`  函数（在<<_html_form_for_logon_on_index_php,下一节>>中编写）检查  `wishers`  表中是否存在用户和口令与<<_function_verify_wisher_credentials,登录窗体>>中提交的值相匹配的记录。如果  `verify_wisher_credentials`  函数返回  `true` ，则在数据库中注册一个具有指定名字和口令组合的许愿者。这表示验证成功，并且  `$logonSuccess`  将值更改为  `true` 。在这种情况下，将启动一个会话并打开  `$_SESSION`  数组。该代码在  `$_SESSION`  数组中添加一个新元素。该元素包含一个值和标识符（键）。该值是许愿者的名字，标识符是 "user"。然后，该代码将用户重定向到  `editWishList.php`  页以编辑愿望列表。

如果  `verify_wisher_credentials`  函数返回  `false` ，则  `$logonSuccess`  变量值保持为 false。将使用该变量值<<_displaying_error_messages,显示错误消息>>。

[[_function_verify_wisher_credentials]]
=== verify_wisher_credentials 函数

要实现验证许愿者凭证的功能，您需要在  `db.php`  文件的  `WishDB`  类中添加一个新函数。该函数要求将名字和口令作为输入参数，并返回 0 或 1。

*对于 MySQL 数据库*，请输入以下代码块：

[source,php]
----

public function verify_wisher_credentials($name, $password) {
  $name = $this->real_escape_string($name);
  $password = $this->real_escape_string($password);
  $result = $this->query("SELECT 1 FROM wishers WHERE name = '"
                  . $name . "' AND password = '" . $password . "'");
  return $result->data_seek(0);
}
----

*对于 Oracle 数据库*，请输入以下代码块（由于 OCI8 没有等效的  `mysql_num_rows` ，该代码是  `get_wisher_id_by_name`  的修改形式）：


[source,php]
----

public function verify_wisher_credentials($name, $password) {
  $query = "SELECT 1 FROM wishers WHERE name = :name_bv AND password = :pwd_bv";
  $stid = oci_parse($this->con, $query);
  oci_bind_by_name($stid, ':name_bv', $name);
  oci_bind_by_name($stid, ':pwd_bv', $password);
  oci_execute($stid);

//Because name is a unique value I only expect one row
  $row = oci_fetch_array($stid, OCI_ASSOC);
  if ($row)
    return true;
  else
    return false;
}
----

该代码块执行查询  `"SELECT 1 FROM wishers WHERE Name = '" . $name . "'AND Password = '" . $password . "'"`  并返回满足指定查询的记录数。如果找到此类记录，该函数将返回  `true` 。如果在数据库中找不到此类记录，该函数将返回  `false` 。

[[_displaying_error_messages]]
=== 显示错误消息

要允许应用程序显示错误消息，请输入以下 <? php ?> 代码块（在  `index.php`  的登录窗体中的输入字段之下、按钮之上）：

[source,php]
----

<?php
if ($_SERVER['REQUEST_METHOD'] == "POST") {
  if (!$logonSuccess)
    echo "Invalid name and/or password";
}
?>
----

该代码块检查 $logonSuccess 变量值；如果该值为 false，则显示一条错误消息。

[[_testing_the_logon_from_the_index_php_page]]
== 测试从 index.php 页中登录

检查登录功能在主页  `index.php`  上是否正常工作：

1. 运行应用程序。
2. 在  `index.php`  页上，在 "Username" 编辑框中输入 Tom，在 "Password" 编辑框中输入 Tim。
3. 按 "Edit My Wish List"。将显示一条错误消息（请注意，下面的浏览器窗口宽度减小为 600px，其中添加了一些换行符）： 

image::images/incorrectNamePasswordIndex.png[]


[start=4]
. 在 "Username" 编辑框中输入 Tom，在 "Password" 编辑框中输入 tomcat。

[start=5]
. 按 "Edit My Wish list"。将显示 editWishList.php 页： 

image::images/SuccessfulLogonOnIndexRedirectToEditWishList.png[]

[[application_source_code_after_the_current_lesson_is_completed]]
== 完成当前课程后的应用程序源代码

MySQL 用户：单击link:https://netbeans.org/files/documents/4/1931/lesson5.zip[+此处+]以下载源代码，该代码反映了在完成课程后的项目状态。

Oracle 数据库用户：单击link:https://netbeans.org/projects/www/downloads/download/php%252Foracle-lesson5.zip[+此处+]以下载源代码，该代码反映了在完成课程后的项目状态。

[[_next_steps]]
== 后续步骤

link:wish-list-lesson4.html[+<< 上一课+]

link:wish-list-lesson6.html[+下一课 >>+]

link:wish-list-tutorial-main-page.html[+返回到教程主页+]


link:/about/contact_form.html?to=3&subject=Feedback:%20PHP%20Wish%20List%20CRUD%205:%20Implementing%20Security[+发送有关此教程的反馈意见+]


要发送意见和建议、获得支持以及随时了解 NetBeans IDE PHP 开发功能的最新开发情况，请link:../../../community/lists/top.html[+加入 users@php.netbeans.org 邮件列表+]。

link:../../trails/php.html[+返回至 PHP 学习资源+]