Como criar um Sistema de Login com Níveis de Permissão
O nosso sistema consistirá em um login simples, validado por usuário e senha (encriptada) contra uma tabela no banco de dados e armazenando os dados na sessão. Haverão dois níveis de acesso para os nossos usuários: normal (1) e administrador (2).
Criando a Tabela MySQL
Você pode executar esse código MySQL para criar a nossa tabela de usuários que tem 7 campos: id, nome, usuario, senha, niveis, ativo e cadastro:
01.CREATE TABLE IF NOT EXISTS `usuarios` ( 02. `id` INT(11) UNSIGNED NOT NULL AUTO_INCREMENT, 03. `nome` VARCHAR( 50 ) NOT NULL , 04. `usuario` VARCHAR( 25 ) NOT NULL , 05. `senha` VARCHAR( 40 ) NOT NULL , 06. `email` VARCHAR( 100 ) NOT NULL , 07. `nivel` INT(1) UNSIGNED NOT NULL DEFAULT '1', 08. `ativo` BOOL NOT NULL DEFAULT '1', 09. `cadastro` DATETIME NOT NULL , 10. PRIMARY KEY (`id`), 11. UNIQUE KEY `usuario` (`usuario`), 12. KEY `nivel` (`nivel`) 13.) ENGINE=MyISAM ;Com isso você já tem uma tabela pronta para o nosso tutorial… Rode esse script se quiser alimentar a tabela com alguns usuários de teste:
1.INSERT INTO `usuarios` VALUES (NULL, 'Usuário Teste', 'demo', SHA1( 'demo' ), 'usuario@demo.com.br', 1, 1, NOW( )); 2.INSERT INTO `usuarios` VALUES (NULL, 'Administrador Teste', 'admin', SHA1( 'admin' ), 'admin@demo.com.br', 2, 1, NOW( ));Como vocês podem perceber, o nosso campo de senha tem 40 caracteres e quando cadastramos os usuários testes usamos SHA1(’{senha}’) isso significa que usaremos uma senha encriptada… Se você quiser saber mais sobre sha1 veja esse artigo: Criptografia no PHP usando md5, sha1 e base64.
O formulário de Login em XHTML
Vamos criar agora o nosso formulário que será onde o visitante entrará com os dados e será mandado para a pagina validacao.php onde os dados serão validados (ohh).
01.<!-- Formulário de Login -->02.<form action="validacao.php" method="post"> 03.<fieldset> 04.<legend>Dados de Login</legend> 05. <label for="txUsuario">Usuário</label> 06. <input type="text" name="usuario" id="txUsuario" maxlength="25" /> 07. <label for="txSenha">Senha</label> 08. <input type="password" name="senha" id="txSenha" /> 09. 10. <input type="submit" value="Entrar" /> 11.</fieldset> 12.</form>Como esse artigo não é uma aula sobre formulários e método POST eu vou pular a parte que fala sobre os names desses inputs e a relação deles com o PHP em si.
A validação dos dados
Já temos o banco de dados e o formulário de login… Agora vamos começar a fazer a validação. Os próximos códigos deverão ser colocados dentro do validacao.php que irá tratar os dados recebidos do formulário:
Primeiro de tudo nós precisamos verificar se o usuário de fato preencheu algo no formulário, caso contrário mandamos ele de volta para o index.php:
1.<?php 2. 3.// Verifica se houve POST e se o usuário ou a senha é(são) vazio(s) 4.if (!empty($_POST) AND (empty($_POST['usuario']) OR empty($_POST['senha']))) { 5. header("Location: index.php"); exit; 6.} 7. 8.?>Com isso, todo código que vier depois desse if estará seguro de que os dados foram preenchidos no formulário.
Agora nós iremos abrir uma conexão com o MySQL mas essa conexão pode ser feita de outra forma, até antes do if se você preferir… Depois de abrir a conexão nós iremos transmitir os dois valores inseridos pelo visitante (usuário e senha) para novas variáveis e usaremos o mysql_real_escape_string() para evitar erros no MySQL.
01.<?php 02. 03.// Verifica se houve POST e se o usuário ou a senha é(são) vazio(s) 04.if (!empty($_POST) AND (empty($_POST['usuario']) OR empty($_POST['senha']))) { 05. header("Location: index.php"); exit; 06.} 07. 08.// Tenta se conectar ao servidor MySQL 09.mysql_connect('localhost', 'root', '') or trigger_error(mysql_error()); 10.// Tenta se conectar a um banco de dados MySQL 11.mysql_select_db('usuarios') or trigger_error(mysql_error()); 12. 13.$usuario = mysql_real_escape_string($_POST['usuario']); 14.$senha = mysql_real_escape_string($_POST['senha']); 15. 16.?>Agora é hora de validar os dados contra a tabela de usuários:
01.<?php 02. 03.// Verifica se houve POST e se o usuário ou a senha é(são) vazio(s) 04.if (!empty($_POST) AND (empty($_POST['usuario']) OR empty($_POST['senha']))) { 05. header("Location: index.php"); exit; 06.} 07. 08.// Tenta se conectar ao servidor MySQL 09.mysql_connect('localhost', 'root', '') or trigger_error(mysql_error()); 10.// Tenta se conectar a um banco de dados MySQL 11.mysql_select_db('usuarios') or trigger_error(mysql_error()); 12. 13.$usuario = mysql_real_escape_string($_POST['usuario']); 14.$senha = mysql_real_escape_string($_POST['senha']); 15. 16.// Validação do usuário/senha digitados 17.$sql = "SELECT `id`, `nome`, `nivel` FROM `usuarios` WHERE (`usuario` = '". $usuario ."') AND (`senha` = '". sha1($senha) ."') AND (`ativo` = 1) LIMIT 1"; 18.$query = mysql_query($sql); 19.if (mysql_num_rows($query) != 1) { 20. // Mensagem de erro quando os dados são inválidos e/ou o usuário não foi encontrado 21. echo "Login inválido!"; exit; 22.} else { 23. // Salva os dados encontados na variável $resultado 24. $resultado = mysql_fetch_assoc($query); 25.} 26. 27.?>Repare que estamos buscando registros que tenham o usuário igual ao digitado pelo visitante e que tenham uma senha igual a versão SHA1 da senha digitada pelo visitante… Também buscamos apenas por registros de usuários que estejam ativos, assim quando você precisar remover um usuário do sistema, mas não pode simplesmente excluir o registro é só trocar o valor da coluna ativo pra zero. 
A consulta gerada fica mais ou menos assim:
1.SELECT `id`, `nome`, `nivel` FROM `usuarios` WHERE (`usuario` = 'a') AND (`senha` = 'e9d71f5ee7c92d6dc9e92ffdad17b8bd49418f98') AND (`ativo` = 1) LIMIT 1Depois de rodar a consulta (query) nós verificamos se o número de resultados encontrados (ou não) é diferente de um, caso seja é exibida uma mensagem de erro acompanhada de um exit que finaliza o script… Caso ele encontre apenas um resultado nós temos o nosso usuário e já puxamos o seu ID, nome e nível de acesso do banco de dados.
Salvando os dados na sessão
Agora nós precisamos salvar os dados encontrados na sessão pois eles serão utilizados mais tarde, em outras páginas e eles precisam “persistir” até lá… Depois de salvar os dados na sessão nós iremos redirecionar o visitante para uma página restrita:
19.if (mysql_num_rows($query) != 1) { 20. // Mensagem de erro quando os dados são inválidos e/ou o usuário não foi encontrado 21. echo "Login inválido!"; exit; 22.} else { 23. // Salva os dados encontados na variável $resultado 24. $resultado = mysql_fetch_assoc($query); 25. 26. // Se a sessão não existir, inicia uma 27. if (!isset($_SESSION)) session_start(); 28. 29. // Salva os dados encontrados na sessão 30. $_SESSION['UsuarioID'] = $resultado['id']; 31. $_SESSION['UsuarioNome'] = $resultado['nome']; 32. $_SESSION['UsuarioNivel'] = $resultado['nivel']; 33. 34. // Redireciona o visitante 35. header("Location: restrito.php"); exit; 36.}
Verificando se o usuário está logado
Nosso sistema de login está quase completo! Agora só precisamos verificar se o usuário está logado no sistema e se o seu o nível de acesso condiz com o da página… Vamos agora escrever um pequeno bloco de PHP no início do arquivo restrito.php (que só deve ser acessado por usuários logados):
01.<?php 02. 03.// A sessão precisa ser iniciada em cada página diferente 04.if (!isset($_SESSION)) session_start(); 05. 06.// Verifica se não há a variável da sessão que identifica o usuário 07.if (!isset($_SESSION['UsuarioID'])) { 08. // Destrói a sessão por segurança 09. session_destroy(); 10. // Redireciona o visitante de volta pro login 11. header("Location: index.php"); exit; 12.} 13. 14.?> 15. 16.<h1>Página restrita</h1> 17.<p>Olá, <?php echo $_SESSION['UsuarioNome']; ?>!</p>Pronto meu amigo! O seu sistema de login está pronto para funcionar… Só vamos fazer alguns incrementos para ele ficar mais “usável”… Agora você vai ver como fazer a verificação de usuário logado e de nível de acesso, por exemplo para uma página onde apenas os administradores possam ter acesso:
01.<?php 02. 03.// A sessão precisa ser iniciada em cada página diferente 04.if (!isset($_SESSION)) session_start(); 05. 06.$nivel_necessario = 2; 07. 08.// Verifica se não há a variável da sessão que identifica o usuário 09.if (!isset($_SESSION['UsuarioID']) OR ($_SESSION['UsuarioNivel'] < $nivel_necessario)) { 10. // Destrói a sessão por segurança 11. session_destroy(); 12. // Redireciona o visitante de volta pro login 13. header("Location: index.php"); exit; 14.} 15. 16.?>
Código de Logout
O arquivo logout.php é tão simples que pode ter uma linha só:
1.<?php session_start(); session_destroy(); header("Location: index.php"); exit; ?>Ou se você preferir, uma versão mais extensa:
1.<?php 2. session_start(); // Inicia a sessão 3. session_destroy(); // Destrói a sessão limpando todos os valores salvos 4. header("Location: index.php"); exit; // Redireciona o visitante 5.?>–
Quem não conseguir fazer um sistema de login depois dessa aula não vai ganhar batata frita no fim do dia!
Fonte: ThiagoBelem
NOTICIAS RELACIONADAS: