Como hacer un sistema de usuarios con PHP y MySQL

Desde hace ya un buen tiempo queria hacer un tutorial de php y mysql pero la falta de tiempo y algunos imprevistos me lo habian impedido, en este tutorial aprenderan algunas cosas basicas y no tan basicas de lo que es php y mySQL, jugaran con html y php, aprenderan a usar las tablas y bases de datos, todo en este tutorial, espero no haber hecho mal jijiji de todos modos cualquier duda o problema por favor comentenlo en el blog o visiten http://www.php.net ahi podran buscar lo que significa cada sentencia, bueno los dejo con esto que les prepare.





DESCARGAR SISTEMA DE USUARIOS

Crear una base de datos, desde tu panel de administración, asignarle un usuario y un password.

Paso 2Ingresar a phpMyAdmin, seleccionar la base de datos que creamos ir al menu superios SQL y ejecutar la siguiente consulta o el .sql que viene en la carpeta, para crear la tabla usuarios.

Ver codigo en Texto - Recomendable

MySQL:

1. CREATE TABLE usuarios(
2. `id` INT( 4 ) NOT NULL AUTO_INCREMENT ,
3. `nombre` TEXT,
4. `apaterno` TEXT,
5. `amaterno` TEXT,
6. `login` VARCHAR( 40 ) NOT NULL ,
7. `password` VARCHAR( 80 ) NOT NULL ,
8. `email` TEXT,
9. UNIQUE KEY ( id )
10. );

** La imagen acontinuacion varia ya que han sido actualizado algunos valores

Paso 3Una ves creada la tabla, creamos nuestro archivo de registro el cual llamaremos form.html, tendra un formulario con los siguientes campos y este se encargara de enviar todas las variables por el metodo POST al archivo crea_usuarios.php (las variables son el parametro que tiene nane= en cada input). El metodo POST es usado para pasar variables sin que nadie las vea hagan de cuenta que las pasa por debajo y el metodo GET las pasa por medio de la URL ejemplo: http://www.sectorweb.net/post.php?action=edit&post=73

Ver codigo en Texto - Recomendable

HTML:

1. <form action="crea_usuarios.php" method="post"> Login(nick):
3. <input name="login" type="text" /></form> <form action="crea_usuarios.php" method="post">Password:
5. <input name="pass1" type="password" /></form> <form action="crea_usuarios.php" method="post">Repite Password:
7. <input name="pass2" type="password" />Nombre:
9. <input name="nombre" type="text" />Apellido Paterno:
11. <input name="apaterno" type="text" />Apellido Materno:
13. <input name="amaterno" type="text" />E-mail:
15. <input name="email" type="text" /> <input name="Crear" type="submit" /> </form>

Paso 4Configurar nuestro archivo config.php el cual contiene todos los datos de autentificacion de nuestra base de datos, solo hay que asignarle a las variables los datos de la base de datos el usuario y la contraseña y el server que casi siempre es localhost.

Ver codigo en Texto - Recomendable

PHP:

1. &lt;? $server="localhost"; /* Nuestro server mysql */
2. $database="fu000207_pruebas"; /* Nuestra base de datos */
3. $dbpass="password"; /*Nuestro password mysql */
4. $dbuser="fu000207_usuario"; /* Nuestro user mysql */
5. ?&gt;

Paso 5Es hora de crear el archivo crea_usuarios.php. El formulario nos avento las variables ahora solo hay que cacharlas, bueno para atraparlas utilizaremos la veriable de servidor $_POST una ves atrapado se lo asignamos a una nueva variable, algo asi $login = htmlspecialchars(trim($_POST['login'])); eliminamos espacios con trim y caracteres especiales con htmlspecialshars, aqui ya tenemos el valor del nick dentro de la variable $login, una ves hecho eso con todas las varibles asiganmos a la variable $query la siguiente consulta: $query = sprintf("SELECT login FROM usuarios WHERE usuarios.login='%s'",mysql_real_escape_string($login)); la cual nos dice:  Selecciona el campo login de la tabla usuarios donde el campo login sea igual al valor de nuestra variable login(se le añade la funcion mysql_real_escape_string() esta escapa cualquier tipo de caracter con el que se pueda hacer una inyeccion SQL o que afecte la integridad de nuestros datos), hacemos nuestra conexion y se la asiganmos a la variable $link ahora detonamos la consulta y la almacenamos en $result hecho esto hacemos la siguiente decisión: if(mysql_num_rows($result)) la cual nos devolvera un valor boleano (verdadero o falso) si es verdadero significa que encontro al menos un elemento en la base de datos que coincide con nuestra variable $login, esto significa que ya hay un usuario con ese nick entonces envia un mensaje pidiendo cambiar el nick, si no existe nadie en la base de datos entonces hay que comparar si las variables del password coinciden o no, si no coinciden envia un mensaje de alerta y si si son iguales encripta el password con la funcion MD5 ahora introduciremos los valores de las variables en la base de datos, la instruccion es : $query  =  sprintf("INSERT INTO usuarios (login, nombre, apaterno, amaterno, password, email) VALUES ('%s','%s','%s', '%s','%s','%s')",mysql_real_escape_string($login),mysql_real_escape_string($nombre),
mysql_real_escape_string($apaterno),mysql_real_escape_string($amaterno),mysql_real_escape_string($pass1),   mysql_real_escape_string($email)); y se la asignamos a la variable $query, la cual nos dice Insertar en la tabla usuarios en el campo login,nombre,apaterno,amaterno,password,email los valores de las variables $login,$nombre,$apaterno, $amaterno,$pass1,$email, cabe mencionar que hay que revisar el orden que tienen y que coincidan los campos con las variables, comunmente no inserta por ese detalle, ahora ejecutamos esa instruccion y la almacenamos en $result ahora hacemos la siguiente decision: if(mysql_affected_rows()) el cual nos devuelvera el número de filas afectadas en la ultima sentencia INSERT si es mayor a 0 entonces devolvera true, y enviara el mensaje que se introducieron y si no enviara que hubo error.

Parte de codigo mejorada por el Team en seguridad informatica Xombra 

Ver codigo en Texto - Recomendable

PHP:

1. &lt;?php
2. // modificacion de codigo Xombra (www.xombra.com) 21/03/2009 para sectorweb.net
4. include("config.php"); /*Traemos el archivo config*/
6. /*Recibimos las variables por el metodo POST*/
8. $login = htmlspecialchars(trim($_POST['login']));
10. $pass1 = trim($_POST['pass1']);
12. $pass2 = trim($_POST['pass2']);
14. $nombre= htmlspecialchars(trim($_POST['nombre']));
16. $apaterno= htmlspecialchars(trim($_POST['apaterno']));
18. $amaterno= htmlspecialchars(trim($_POST['amaterno']));
20. $email = htmlspecialchars(trim($_POST['email']));
22. /*Hacemos la consulta */
24. // $query="SELECT * FROM usuarios WHERE login='$login'"; //ANTES
26. $link=mysql_connect($server,$dbuser,$dbpass);
28. $query = sprintf("SELECT login FROM usuarios WHERE usuarios.login='%s'",  // Ahora
29. mysql_real_escape_string($login));
32. $result=mysql_db_query($database,$query,$link);
34. if(mysql_num_rows($result)){
36. echo "El usuario ya existe en la BD";
38. } else {
40. mysql_free_result($result);
42. /* Ahora comprovamos que los dos pass coinciden */
44. if($pass1!=$pass2) {
46. echo "Los passwords deben coincidir";
48. echo 'Click &lt;a href="form.html"&gt;aquí&lt;/a&gt; para volver al formulario';
50. } else {
52. /* Encriptamos "Ciframos" el password
54. // $pass1=crypt($pass2, "semilla"); // ANTES */
56. $pass1=sha1(md5($pass1)); // Ahora
58. /* $query="INSERT INTO usuarios (login, nombre, apaterno, amaterno, password, email) VALUES ('$login','$nombre','$apaterno', '$amaterno','$pass1','$email')"; */  // Antes
60. $query  =  sprintf("INSERT INTO usuarios (login, nombre, apaterno, amaterno, password, email) VALUES ('%s','%s','%s', '%s','%s','%s')",  // Ahora
61. mysql_real_escape_string($login),   mysql_real_escape_string($nombre),
62. mysql_real_escape_string($apaterno),mysql_real_escape_string($amaterno),
63. mysql_real_escape_string($pass1),   mysql_real_escape_string($email));
66. $result=mysql_db_query($database,$query,$link);
68. if(mysql_affected_rows()){
70. echo "Usuario introducido correctamente";
72. } else {
74. echo "Error introduciendo el usuario";
76. } /* Cierre del else */
78. } /* Cierre del else que corresponde a if(mysql_affected_rows.....) */
80. } /* Cierre del else que corresponde a if(mysql_num_rows...) */
82. ?&gt;

Paso 6Parece que si ingreso los datos, pero vamos a comprobarlo de todos modos, para eso vamos a phpMyAdmin seleciconamos nuestra base de datos clicleamos en el recuadro que esta junto a la tabla y automaticamente nos trae todos los datos introducidos en esa tabla. Si no hay nada verifica que hiciste bien tu INSERT INTO y que tus variables tengan valores

Paso 7Vamos a hacer nuestra pagina de login.php, primero verificamos si ya esta iniciada la sesión, si si entonces redirecciona a la pagina user.php que acontinuacion crearemos, si no se a iniciado la sesión entonces imprime el formulario el cual enviara todos los datos a comprueba.php el cual se encargara de revisar si esta en la base de datos.

Ver codigo en Texto - Recomendable

PHP:

1. &lt;? session_start();
2. if(isset($SESSION)){
3. header("location:user.php"); /* Si ha iniciado la sesion, vamos a user.php */
4. } else {
5. /* Cerramos la parte de codigo PHP porque vamos a escribir bastante HTML y nos será mas cómodo así que metiendo echo's */
6. ?&gt;</p>
8. <h1>Identificación</h1>
9. <form class="miform" action="comprueba.php" method="post"> Login:
11. <input name="login" type="text" />Password:
13. <input name="pass" type="password" /> <input class="boton" type="submit" value="Entrar" /> </form>} /* Y cerramos el else */
14. ?&gt;

Paso 8Crear el archivo comprueba.php este recibira las dos variables por el metodo POST les quitara espacios y caracteres especiales, encriptamos en md5 el password para despues poderlo comparar, ejecutamos la consulta asi:  $query = sprintf("SELECT usuarios.login,usuarios.nombre,usuarios.apaterno,usuarios.amaterno,usuarios.email FROM usuarios WHERE usuarios.login='%s' && usuarios.password = '%s'",mysql_real_escape_string($login),mysql_real_escape_string($pass)); y si devuelve un valor igual a 1 significa que encontro el user y el pass, entonces inica la session y le pasa las variables que ocuparemos a nuestra variable de servidor $_SESSION["nombre"]=$array["nombre"]; $array contiene un arreglo con los campos de ese usuario y hace un redireccionamiento al archivo user.php, si no enviara un mensaje diciendo que no existe ese usuario y si no  y si el password no es correcto envia un mensaje de password incorrecto .

Parte de codigo mejorada por el Equipo en Seguridad Informatica Xombra 

Ver codigo en Texto - Recomendable

PHP:

1. &lt;?php session_start();
2. // modificacion de codigo Xombra (www.xombra.com) 21/03/2009 para sectorweb.net
3. include("config.php");
5. $login = htmlspecialchars(trim($_POST['login']));
7. $pass = sha1(md5(trim($_POST['pass']))); // encriptamos en MD5 para despues comprar (Modificado)
9. // $query="SELECT * FROM usuarios WHERE login='$login'"; Antes
11. $link=mysql_connect($server,$dbuser,$dbpass);
13. $query = sprintf("SELECT usuarios.login,
14. usuarios.nombre,
15. usuarios.apaterno,
16. usuarios.amaterno,
17. usuarios.email
18. FROM usuarios WHERE usuarios.login='%s' &amp;&amp; usuarios.password = '%s'",  // Ahora
19. mysql_real_escape_string($login),mysql_real_escape_string($pass));
21. $result=mysql_db_query($database,$query,$link);
23. // if(mysql_num_rows($result)==0){ // antes
25. if(mysql_num_rows($result)){ // nos devuelve 1 si encontro el usuario y el password
27. $array=mysql_fetch_array($result);
29. //  if($array["password"]==crypt($pass,"semilla") ){ // Antes
31. /* Comprobamos que el password encriptado en la BD coincide con el password que nos han dado al encriptarlo. Recuerda usar semilla para encriptar los dos passwords. */
33. $_SESSION["login"]=$array["login"];
35. $_SESSION["nombre"]=$array["nombre"];
37. $_SESSION["apaterno"]=$array["apaterno"];
39. $_SESSION["amaterno"]=$array["amaterno"];
41. $_SESSION["email"]=$array["email"]; // Agrgado Nuevo
43. header("Location:user.php");
45. }  else {
47. echo "Login o Password Incorrectos");  // Ahora
49. }
51. ?&gt;

Paso 8Crear la pagina de user.php este contendra las variables que le pasamos desde el archivo comprueba.php y solo sera visto por usuarios que se hayan identificado correctamente, primero comprueba si se a iniciado sesion si no redirecciona a login y si si imprime el contenido para el usuario

Ver codigo en Texto - Recomendable

PHP:

1. &lt;? session_start();
2. if(!isset($_SESSION)){
3. header("location:login.php");
4. } else {
5. echo "";
6. echo "
7. <h1>SectorWeb.net</h1>
8. ";
9. echo "Bienvenido al Area de usurios: <strong>";
10. echo $_SESSION["nombre"]." ".$_SESSION["apaterno"]." ".$_SESSION["amaterno"]." ";
11. echo "</strong>
12. Has entrado con el nick: <strong> ";
13. echo $_SESSION["login"];
14. echo "</strong>
15. Para cerrar la sesión, pulsa: <a href="http://www.sectorweb.net/logout.php">Aqui</a>";
16. echo "";
17. }
18. ?&gt;

Paso 9Crear la pagina de logout.php este se encargara de cerrar la sesion

Ver codigo en Texto - Recomendable

PHP:

1. &lt;? session_start();
2. if(!isset($_SESSION)){
3. header("location:login.php");
4. } else {
5. session_unset();
6. session_destroy();
7. echo "
8. <h1>SectorWeb.net</h1>
9. ";
10. echo "Las variables de sesión han sido eliminadas, y la sesión se ha dado por finalizada correctamente da click <a href="http://www.sectorweb.net/%5C%22login.php%5C%22">aqui para loguearte</a>";
11. }
12. ?&gt;