Login Multi User yang Aman PHP MySql

Login Multi User yang Aman PHP MySql - Salah-satu hal yang menjadi konsen para programmer adalah keamanan login ketika membangun aplikasi berbasis web. Keamanan dimaksud adalah dari brute force attack, sql injection, session hijacking, network snipping, dan cross site scripting.

Artikel dari Kontakmedia kali ini adalah tentang salah-satu cara membuat atau membangun login multi user yang aman menggunakan PHP dan MySQL. Pada prakteknya nanti, kita akan menggunakan XAMPP yang menggunakan database MariaDB. Platform database MariaDB ini identik dengan MySQL.

Persiapan

Yang perlu dipersiapkan adalah sebuah komputer yang telah diinstalasikan Xampp. Disarankan untuk Xampp yang masih menggunakan PHP 5, tetapi tidak masalah bila ingin menggunakan PHP 7.

Penulis menggunakan Xampp yang menggunakan PHP 5.6.40 karena masih kompatibel dengan Dreamweaver CS6. Jadi bagi yang tidak menggunakan Dreamweaver versi tersebut, tentu dapat menggunakan PHP 7.

Dalam langkah persiapan ini, lakukan langkah-langkah sebagai berikut :

Di dalam folder htdocs Xampp buat folder baru dengan nama MyWeb.

Pembuatan Database

Buat database baru dengan nama MyWeb.

CREATE DATABASE `MyWeb`;

Buat tabel dengan nama Users di database MyWeb.

CREATE TABLE Users ( user VARCHAR(50) PRIMARY KEY, pass VARCHAR(255), name VARCHAR(50), email VARCHAR(100), register INT(11) );

Buat tabel Users_Log pada database MyWeb. Fungsinya untuk menangkal; Brute Force Attach

CREATE TABLE Users_Log( id INT PRIMARY KEY AUTO_INCREMENT, tgl DATETIME, expired DATETIME, token VARCHAR(40), username VARCHAR(50), ip VARCHAR(20), useragent VARCHAR(150), stat INT(11) );

Masukkan data pada tabel Users

INSERT INTO Users VALUES ('admin','$2y$10$ggxmazeAZOoioEnq4mLXSeLvn404IewZ29AoF7vzZwYuTRqu6AUPK', 'Administrator','admin@localhost',1010);

Pembuatan Script PHP

Di dalam folder MyWeb buat folder baru dengan nama Conf. Pada folder Conf ini kita isi dengan tiga script yaitu conn.php, library.php, dan classlogin.php

Script conn.php
<?php //conf/conn.php session_start(); $user = "root"; $pass = ""; $db = "adv_login"; $host = "localhost"; $db = new PDO('mysql:host=localhost;dbname='.$db.';charset=utf8',$user,$pass); require_once("conf/library.php"); require_once("conf/ClassLogin.php"); $login = new Login();

Script library.php
<?php //conn/library.php #isinya adalah fungsi standar untuk pengiriman pesan sukses/error #fungsi-fungsi kit tambahan lainnya juga bisa sekalian dimasukkan disini function create_alert($type, $pesan, $header=null){ $_SESSION['adm-type'] = $type; $_SESSION['adm-message'] = $pesan; if($header!==null){ header("location:".$header); exit(); } } function show_alert(){ if(isset($_SESSION['adm-type'])){ $type = ucfirst($_SESSION['adm-type']); unset($_SESSION['adm-type']); $message = $_SESSION['adm-message']; unset($_SESSION['adm-message']); return " <div class='alert alert-$type'> <strong>$type</strong> <br> $message </div> "; } }

Script classlogin.php
<?php //conn/ClassLogin.php Class Login{ var $db; public function __construct(){ global $db; #menghubungkan variabel database $db ke class Login $this->db = $db; } public function cek_login(){ /*kondisi user dinyatakan login adalah : 1. Memiliki $_COOKIE['adv_token']; (yang dibuat di method true_login() tadi) 2. $_COOKIE['adv_token'] terdaftar di tabel Users_Log, dan dalam keadaan masih belum expired 3. IP dan User Agent sesuai dengan token yang terdaftar */ if(isset($_COOKIE['adv_token'])){ $token = $_COOKIE['adv_token']; $now = date("Y-m-d H:i:s"); $cek = $this->db->query("SELECT * FROM Users_Log WHERE token = ".$this->db->quote($token)." AND expired > ".$this->db->quote($now)); if($cek){ #kalau token di cookie tersebut ada, lakukan pengecekan IP dan User Agent $row = $cek->fetch(); if($row['ip'] == $_SERVER['REMOTE_ADDR'] || $row['useragent'] == $_SERVER['HTTP_USER_AGENT']){ //kondisi bisa disesuaikan utk kebutuhan dengan ATAU / DAN //kondisi DAN boleh dipakai, tapi terlalu strict.. Lebih baik pakai ATAU saja. $username = $row['username']; //kembalikan data user yg sedang login,, siapa tahu nanti ingin diolah $get_admin = $this->db->query("SELECT * FROM Users WHERE user = ".$this->db->quote($username)); $rget = $get_admin->fetch(); return array( "username" => $rget['user'], "name" => $rget['name'], "email" => $rget['email'], "register" => $rget['register'] ); } } } return false; } public function salah_login_action($username){ //logic : dipanggil saat user salah memasukkan username/password. //username, tgl, ip, dan user agent dicatat dengan FLAG=0. $tgl = date("Y-m-d H:i:s"); $ip = $_SERVER['REMOTE_ADDR']; $useragent = $_SERVER['HTTP_USER_AGENT']; //memasukkan data ke Users_Log dengan flag STAT = 0. $save = $this->db->prepare("INSERT INTO Users_Log VALUES (NULL, ?, '', '', ?, ?, ?, 0)"); $save->execute(array( $tgl, $username, $ip, $useragent )); return true; } public function cek_salah_login($limit=5){ #method ini dipanggil sekali di login-proses paling atas. #$limit bisa disesuaikan sesuai kebutuhan kita. //cek apakah di tabel Users_Log ada 5 IP yang sama dalam keadaan salah login (STAT = 0) $ip = $_SERVER['REMOTE_ADDR']; $cek = $this->db->prepare("SELECT * FROM Users_Log WHERE stat = 0 AND ip = ?"); $cek->execute(array($ip)); if($cek->rowCount() >= $limit) return false; return true; } public function true_login($username, $expired){ #method yang dipanggil ketika username dan password sudah tepat dimasukkan $tgl = date("Y-m-d H:i:s"); if($expired <> 0){ #kalau remember me dicentang, tanggal expirenya adalah 1 tahun dari sekarang. $expireddb = date("Y-m-d H:i:s",strtotime($expired)); } else{ #kalau remember me tidak dicentang, secara default user dapat login selama 6 jam saja. $expireddb = date("Y-m-d H:i:s",strtotime("+6 hours")); } $ip = $_SERVER['REMOTE_ADDR']; $useragent = $_SERVER['HTTP_USER_AGENT']; $token = sha1($ip.$expireddb."string_random_apasaja".microtime()); //intinya membuat karakter acak saja //$token ini penting,, nantinya akan disimpan sebagai COOKIE //apabila ada kesalahan login sebelumnya dengan IP & user agent yang sama sebelumnya harus ditandai dulu //penandaan dilakukan dengan mengubah FLAG dari 0 menjadi 9, sehingga di pengecekan selanjutnya data ini tidak akan dianggap $upd = $this->db->query("UPDATE Users_Log SET stat = 9 WHERE token = '' AND ip = ".$this->db->quote($ip)." AND useragent = ".$this->db->quote($useragent)); //memasukkan data lengkap ke Users_Log dengan flag STAT = 1. $save = $this->db->prepare("INSERT INTO Users_Log VALUES (NULL, ?, ?, ?, ?, ?, ?, 1)"); $save->execute(array( $tgl, $expireddb, $token, $username, $ip, $useragent )); //simpan token ke cookie $expr = 0; if($expired <> 0){ $expr = intval(strtotime($expired)); } setcookie("adv_token", $token, $expr, "/"); #kalau remember me tidak dicentang, cookie akan otomatis bertindak sebagai session #kalau dicentang, cookie akan terus disimpan return true; } public function logout(){ #dipanggil saat user logout dari sistem. if(isset($_COOKIE['adv_token'])){ $token = $_COOKIE['adv_token']; //cara menghapus cookie adalah dengan mengubah tanggal expirednya menjadi sekarang $now = date("Y-m-d H:i:s"); unset($_COOKIE['adv_token']); setcookie("adv_token",null,$now,"/"); #jangan lupa tanggal expired di database diupdate juga, supaya session token yang sudah logout tidak dihijack $this->db->query("UPDATE Users_Log SET expired = ".$this->db->quote($now)." WHERE token = ".$this->db->quote($token)); } return true; } public function login_redir(){ //method yang akan selalu dipanggil di seluruh halaman non index dan non login, //untuk mengecek apabila user tidak memiliki akses langsung diredirect ke halaman login if(!$this->cek_login()) header("location:index.php"); } }

CREATE DATABASE `MyWeb`;

CREATE DATABASE `MyWeb`;

Demikianlah artikel dari Kontakmedia yang berjudul Login Multi User yang Aman PHP MySql, semoga bermanfaat. Dan terima kasih untuk Anda yang telah berkunjung ke blog ini.