Desain Login User dengan Cookie di PHP

Oleh Uboiz -

Penasaran dengan penggunaan PHP (Personal Home Page) session yang mulai banyak artikel yang menyarankan untuk segera meninggalkan penggunaanya, penulis mencoba membuat desain login membership dengan cookie.

Salah satu latar belakangnya adalah jawaban Guidrevitch (2017), atas pertanyaan yang terkait alasan Wordpress yang meninggalkan PHP session untuk kebaikan di pihak server, di Quora.com, terutama untuk masalah performa Worpress.

Penulis bingung, sampai penulis menemukan tulisan dari Pasztor (2019), yang menegaskan untuk segera menghentikan penggunaan PHP session, dikarenakan PHP session merupakan sistem kunci, yang tidak mengunci sepenuhnya, dan dapat menjadi bom waktu, jika akses secara paralel dan dalam kuantitas yang banyak terjadi.

Hal itu dikarenakan PHP session masih menggunakan file system, yang perlu dibuka dan ditutup dahulu ketika akan menuliskan session yang lain.

Penulis sebenarnya masih belum mempercayainya, tetapi berdasarkan pengalaman penulis menggunakan Wordpress semenjak tahun 2015, sepertinya memang Wordpress sudah tidak menggunakan PHP session lagi.

Terbukti ketika penulis akan membutuhkan session, sekitar satu tahun sebelum tulisan ini ditulis, untuk keperluan plug-in membership di Wordpress, penulis perlu menambahkan session sendiri, yang dilakukan secara manual dan satu persatu.

Oleh karena itu, penulis yakin kalau memang PHP session sudah ditinggalkan, dan sudah saatnya menggunakan metode keamanan yang lain.

Berikut ini adalah ide penulis dalam menambahkan login membership pada website yang sedang penulis kerjakan.

SQL Database
Sudah pasti, karena data user disimpan dalam database, percobaan ini membutuhkan SQL database, dengan table user kurang lebih dengan struktur data seperti di bawah ini:

CREATE TABLE users (
    id INT NOT NULL PRIMARY KEY AUTO_INCREMENT,
    username VARCHAR(50) NOT NULL UNIQUE,
    passcode VARCHAR(255) NOT NULL,
    passkey VARCHAR(255) NULL,
    userlevel INT(2) DEFAULT 1,
    created_at DATETIME DEFAULT CURRENT_TIMESTAMP,
    login_at DATETIME DEFAULT CURRENT_TIMESTAMP
);

Login Form
Kode login form yang digunakan adalah sebagai berikut:

<form id="loginForm" name="loginForm" method="post" action="login.php"> 
 <center> 
 <input type="text" name="userid" placeholder="NIK" value="<?php if(isset($_POST['userid']))echo $_POST['userid'];?>"/><br/> 
 <input type="password" name="passid" placeholder="password"/><br/> 
 <div class="g-recaptcha" data-sitekey="6Lfv2VwUAAAAAI56mr-opCEVe7omqf7sxguOz5FS"></div> 
 <input type="submit" value="Login"/> 
 </center> 
 </form>

Login.php
Ketika action post diberikan, dan user memberikan username dan password yang benar, maka akan dilakukan registrasi cookie login_user dan login_key, dengan lama kadaluarsa setelah satu jam.

   $myusername = filter_var($_POST['userid'], FILTER_SANITIZE_STRING);
   $mypassword = md5(filter_var($_POST['passid'], FILTER_SANITIZE_STRING));
 
   $sql = "SELECT id FROM users WHERE username = '$myusername' AND passcode = '$mypassword'"; 
   $result = mysqli_query($dbconnection,$sql); 
   if($result){ 
    $row = mysqli_fetch_array($result,MYSQLI_ASSOC); 
    $id=$row['id']; 
    $count = mysqli_num_rows($result); 
    if($count == 1){ 
     $passkey=getRandomChar(rand(20,45)); 
     echo $passkey." ".$id; 
     $sql = "UPDATE users SET passkey = '$passkey',login_at=now() WHERE id='$id'"; 
     $result = mysqli_query($dbconnection,$sql); 
     if($result){ 
      setcookie("login_user",$myusername, time()+3600, "/"); 
      setcookie("login_key",$passkey, time()+3600, "/"); 
      header("Location:dashboard.php"); 
      die(); 
     }else{ 
      $ErrorMessage = "Unknown get timestap"; 
     } 
    }else { 
     $ErrorMessage = "Your login name or password is invalid"; 
    } 
   }else{ 
    $ErrorMessage=mysqli_error($dbconnection); 
   }

Checklogin.php
Kode ini diperuntukkan untuk memvalidasi login user secara berkala, yaitu ketika memasuki halaman baru, user akan dicheck kesesuaian login_user dan login_key dengan di database.

Jika sesuai maka baik di database maupun cookie di client diperbaharui waktu kadaluarsanya.

if(isset($_COOKIE["login_user"]) && !empty($_COOKIE['login_user'])){ 
 $sql = "SELECT login_at,now() FROM users WHERE username = '".$_COOKIE["login_user"]."' AND passkey = '".$_COOKIE["login_key"]."'"; 
 $result = mysqli_query($dbconnection,$sql); 
 if($result){ 
  $count = mysqli_num_rows($result); 
  $row=mysqli_fetch_array($result); 
  if($count==1 && count($row)>2){ 
   $start_date = new DateTime($row[0]); 
   $since_start = $start_date->diff(new DateTime($row[1])); 
   $minutes = $since_start->days * 24 * 60; 
   $minutes += $since_start->h * 60; 
   $minutes += $since_start->i; 
   if($minutes>59){ 
    showErrorMessage("User login expired in server!"); 
   }else{ 
    $sql = "UPDATE users SET login_at=now() WHERE username = '".$_COOKIE["login_user"]."'"; 
    $result = mysqli_query($dbconnection,$sql); 
    if($result){ 
     setcookie("login_user",$_COOKIE["login_user"], time()+3600, "/"); 
     setcookie("login_key",$_COOKIE["login_key"], time()+3600, "/"); 
    }else showErrorMessage("Error at get time stamp!"); 
   } 
  }else{ 
   showErrorMessage("Seem you was login with another device!"); 
  } 
 } 
}else{ 
 header("Location:index.php"); 
}

Logout.php
Halaman ini digunakan untuk membersihkan cookie yang telah teregistrasi.

session_start(); 
setcookie("login_user","", time()-3600, "/"); 
setcookie("login_key","", time()-3600, "/"); 
$_COOKIE['login_user']=""; 
session_destroy();

Skema kerja
Ketika user mengisi login form dan menekan tombol login, jika berhasil user akan diarahkan ke halaman dashboard.php, dengan meregistrasi dulu cookie login_user dan login_key.

Cookie login_key bukanlah digenerate dari password, tapi nilai ini berupa kumpulan angka dan huruf yang disusun dengan fungsi random dibawah ini:

function getRandomChar($n) { 
    $characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'; 
    $randomString = ''; 

    for ($i = 0; $i < $n; $i++) { 
        $index = rand(0, strlen($characters) - 1); 
        $randomString .= $characters[$index]; 
    } 

    return $randomString; 
}

Sedangkan kedua cookie ini diset untuk kadaluarsa (expired) selama satu jam di sisi client.

Selain itu, experied juga di set di database, dengan menghitung selisih menit waktu login dan waktu sekarang dengan menggunakan fungsi diff di PHP DateTime.

Dengan juga menambahkan reCHAPTCA (seperti telah disebutkan dalam posting sebelumnya), kedua experied time ini ditujukan untuk mempertebal keamanan pengguna, tanpa menggunakan session.

Perlu diketahui, sistem yang penulis tawarkan disini, yaitu pengguna hanya dapat mengakses database melalui satu device saja.

Sehingga jika user berusaha login dengan device yang lain, hal tersebut akan mengubah nilai login_key, yang artinya login_key di device sebelumnya telah kadaluarsa.


Kecuali pengguna mau mencari nilai login_key terbaru, yang tersembunyi, yang kemudian sama-sama digunakan pada kedua device bersamaan.

Sebaliknya, jika user tidak bisa login, maka user akan tetap disuguhkan dengan login form, bersama dengan pesan error dari tahap login sebelumnya.

Bagian ceklogin.php diperuntukkan untuk validasi user, disetiap halaman yang membutuhkan autentifikasi seperti dashboard.php.

Artikel ini hanya desain penulis, menawarkan metode keamanan yang mungkin akan berbeda dengan yang penulis implementasi di kode penulis yang sebenarnya.

Setidaknya dalam tulisan ini, penulis telah menunjukkan login dapat dilakukan tanpa menggunakan session.

Referensi

  • Pasztor, Janos. 2019. Stop usinjg PHP sessions!. https://pasztor.at/blog/stop-using-php-sessions. Diakses tanggal 8 Desember 2019.
  • Guidrevitch, Aleksandr. 2017. Why does WordPress not use PHP session at all?. https://www.quora.com/Why-does-WordPress-not-use-PHP-session-at-all. Diakses tanggal 8 Desember 2019.

Komentar

Posting Komentar



Postingan populer dari blog ini

Kumpulan Source Code Greenfoot

Oleh Uboiz -
Gambar
Overview Greenfoot adalah aplikasi berbasis Java yang cocok untuk pemula yang sedang belajar OOP Java. Dukungan image processing 2D dapat menjadi satu daya tarik utama penggunaan aplikasi ini. Sehingga selain gratis, dengan Greenfoot anda akan dapat belajar membuat algorithma pembuatan game, terutama yang berbasis game 2D. Greenfoot Sourcecode Collection adalah kumpulan source code Greenfoot yang terdiri dari 36 skenario. Beberapa scenario menunjukkan tentang bagaimana cara memvisualisasikan contoh-contoh bidang kefisikaan, seperti revolusi bulan, gravitasi, pendulum dan sebagainya. Selain itu beberapa contoh juga mengambil tujuan bagaimana cara membuat animasi 2D dengan lebih banyak menulis program, dibanding pengolahan gambar menggunakan software image processing seperti Corel Draw atau Photoshop. Dengan mempelajari source code ini diharapkan anda dapat menguasai dasar bagaimana melakukan atau menerapkan algorithma dalam bentuk kode program untuk pembuatan game 2D d
Baca selengkapnya

Game TicTacToe dengan Greenfoot

Oleh Uboiz -
Gambar
Game Tic Tac Toe, meskipun termasuk game yang sederhanya, ternyata sulit juga untuk membuatnya. Terutama untuk memasukkan Artificial Intelligence (AI) sebagai musuh pemain. Penulis sebenarnya telah mencoba mengimplementasikan algorithma game Tic Tac Toe dengan HTML5 Canvas pada posting sebelumnya, namun disini penulis mencoba menulis ulang dengan Greenfoot, dan melakukan efisiensi penulisan kode program. Awalnya, sesuai gambar diatas dan dalam video dibawah ini, penulis membuatnya dengan Greenfoot versi 3.x, namun karena terlalu memakan banyak memori, penulis ubah ke Greenfoot versi lebih awal, yaitu Greenfoot 2.x. Sedangkan untuk kode nya dapat di download dengan link dibawah ini: Download TicTacToe.gfar Ide AI-nya cukup sederhana, yaitu komputer mencoba bertahan, dengan mencari posisi pemain dimana paling berpotensi menang, baru kemudian mencari posisi untuk dirinya sendiri untuk menang. Untuk game versi Android-nya dapat dicoba di link dibawah ini
Baca selengkapnya

Algorithma Coretan Abstrak dengan HTML5 Canvas

Oleh Uboiz -
Gambar
Coretan dengan gradasi sisi kiri dan sisi kanan, dapat dibuat dengan fungsi fillRect dengan lebar 1x1 pixel. Algorithmanya adalah membentuk garis horizontal dengan tinggi juga 1 pixel saja, dengan lebar acak mulai 0 sampai 500 pixel, dengan semakin ke pinggir nilai alphanya semakin transparan. Sedangkan untuk penggambarannya dibagi menjadi tiap seksi. Dimana tiap seksi menggambar 50 garis, dengan posisi dan rotasi tidak jauh dari posisi dan rotasi utama. Setting ulang posisi dan rotasi utama dilakukan tiap seksi, sampai kurang lebih 100 kali. Berikut ini adalah kode HTML5 Canvas yang mengimplementasikan algorithma di atas: <html> <head> <title>Random Pixel</title> </head> <body> <canvas id= "myCanvas" width= "1024" height= "768" > </canvas> <script> var canvas = document.getElementById( "myCanvas" ); var ctx = canvas.getContext( "2d" ); ctx.
Baca selengkapnya

Cara Membuat Halaman HTML Sederhana

Oleh Uboiz -
Gambar
Membuat halaman website sebenarnya tidaklah sulit. Yang diperlukan hanyalah mencoba. Tulisan berikut ini adalah berdasarkan pengalaman penulis, tutorial cepat bagaimana membuat halaman HTML untuk membangun sebuah website sederhana. Perlu diketahui, bahasa pemrograman dasar dari tampilan website adalah HTML, dan saat tulisan ini ditulis, bahasa HTML telah mencapai versi HTML5. Setiap halaman website sebenarnya ditulis dalam bentuk bahasa ini, dan web browserlah yang bertugas untuk merender dari kode HTML tersebut, agar halaman website tidak tampil berupa kode-kode program saja, melainkan dengan tampilan yang dapat dimengerti dengan mudah oleh mata manusia. Alat yang diperlukan untuk membuat halaman HTML adalah text editor seperti Notepad. Jika diperlukan, dapat digunakan aplikasi Notepad++, untuk mempermudah mengenali tag-tag HTML. Dengan Notepad++ ini pula, akan dapat dengan mudah mengatur indentasi, bagi programer yang membutuhkan kerapian. Membuat Halaman HTML Membuat
Baca selengkapnya

Kode Greenfoot Game Snake Sederhana

Oleh Uboiz -
Gambar
Penasaran dengan kode game snake jaman dahulu, penulis iseng membuat game snake menggunakan Greenfoot. Game dibuat cukup sederhana dengan hanya empat class Actor, yaitu class Ular, Kepala, Makanan, Score dan GameOver. Kontrol game menggunakan arah keyboard arah atas, kebawah, kiri dan kanan. Kode ini cocok bagi mereka yang ingin belajar bahasa pemrograman Java menggunakan Greenfoot. Kode Greenfoot tersebut dapat di donload pada link di sini .
Baca selengkapnya

Honeycomb Style Wallpaper dengan HTML5 Canvas

Oleh Uboiz -
Gambar
Bentuk hexagon merupakan bentuk yang menarik dan identik dengan bentuk sarang lebah madu (Honeycomb). Gambar di atas adalah gambar hasil generate bentuk hexagon, yang disusun sesuai urutan, dengan lebar dan jarak tertentu, menggunakan HTML5 Canvas. Dengan menambahkan efek warna gradient hijau pada background dan shadow pada masing-masing bentuk hexagonnya, dapat menambahkan efek futuristik dan elegan sebagai wallpaper dekstop, smartphone, tablet atau semacamnya. Berikut kode HTML5 Canvasnya: <html> <head> <title>Honeycomb Shape</title> </head> <body> <canvas id= "myCanvas" width= "1024" height= "768" > </canvas> <script> var canvas = document.getElementById( "myCanvas" ); var points=[]; var ctx = canvas.getContext( "2d" ); var grd = ctx.createRadialGradient(0.5*canvas.width,0.5*canvas.height,0,0.5*canvas.width,0.5*canvas.height,360); grd.addColorStop(0
Baca selengkapnya

Ganti Kartu ATM BNI yang Rusak

Oleh Uboiz -
Gambar
Pada Senin, 2 Maret 2020, akibat tergores kunci sepeda motor, ATM BNI (Automated Teller Machine Bank Negara Indonesia) penulis rusak sebagaimana terlihat gambar di atas. Maka pada hari Selasa, keesokan hari, penulis mencoba ke bank untuk mencari solusi. Sayangnya, hari itu penulis lupa membawa buku tabungan. Sebab menurut satpam yang bertugas, untuk ganti kartu ATM, penulis harus membawa buku tabungan. Hari Rabunya, penulis kembali ke bank dan seorang Customer Service (CS) membantu mengganti kartu penulis. Setelah dilakukan verifikasi data dengan menanyakan data-data terkait pemilik kartu, penulis mengisi lembar dokumen, dan membayar biaya administrasi sebesar 20 ribu rupiah, maka penulis pun mendapatkan kartu yang baru.
Baca selengkapnya

Mencoba Submit Theme di Wordpress.org

Oleh Uboiz -
Gambar
Sangat penasaran sekali, bagaimana agar theme yang penulis buat, dapat tampil menjadi salah satu theme yang ditawarkan pada halaman tampilan Wordpress. Baru pada tahun 2023 ini, penulis berkesempatan untuk mengoprek lebih dalam Wordpress, mulai dari theme sampai plugin. Belum sampai ke core. Hal ini berkat serangan virus "Slot Gacor" yang beberapa bulan sebelum tulisan ini ditulis, menyerang beberapa website yang penulis kelola. Di mana kode injeksinya, penulis temukan di theme dan plugin yang digunakan. Bukan pada core Wordpress. Artinya, dari serangan tersebut adalah yang membuat penulis semakin berkeinginan untuk membuat theme dan plugin sendiri untuk Wordpress. Maklum, karena pada waktu itu, posisi penulis bukan yang membangun website dari awal, sehingga plugin yang digunakan, adalah sesuai kebutuhan tenaga IT sebelumnya. Dan Wordpress adalah aturan permintaan instansi pemilik website. Ngomong-ngomong bagaimana bisa terkena "Slot Gacor", apakah karena tenaga IT
Baca selengkapnya

Tips Agar Website Anda Segera di Terima oleh Google Adsense dan di-Monetize

Oleh Uboiz -
Berikut beberapa saran dari pihak Google Adsense yang mungkin bisa saya share kepada Anda ang ingin agar websitenua segera diapprove oleh Google Adsense dan segera dapay di-monetize: Pastikan laman Anda berisi teks yang memadai - situs web yang kontennya sebagian besar adalah gambar, video, atau animasi Flash tidak akan disetujui. Konten Anda harus berisi kalimat dan paragraf lengkap, bukan sekadar judul. Pastikan situs web Anda telah sepenuhnya rampung dan diluncurkan sebelum Anda mengajukan permohonan untuk AdSense - jangan ajukan permohonan ketika situs Anda masih dalam versi beta atau tahap "sedang dibuat" atau hanya terdiri dari kerangka situs web. Tempatkan kode iklan di laman aktif situs web Anda. Tidak harus berupa laman utama, namun laman percobaan yang kosong kecuali untuk kode iklan AdSense tidak akan disetujui. Sediakan sistem navigasi yang jelas untuk para pengunjung agar mudah menemukan semua bagian dan laman dalam situs web Anda. Jika Anda ingin
Baca selengkapnya

Selamatan Latar Glundengan Bubuk Banyuwangi

Oleh Uboiz -
Gambar
Setiap tahun, bertepatan dengan 1 Muharram, pada Sabtu 31 Agustus 2019, masyarakat Dukuh Glundengan, Dusun Warengan, Desa Bubuk, Kecamatan Rogojampi, Kabupaten Banyuwangi mengadakan acara selamatan latar. Selamatan ini berupa makan bersama di depan rumah masing-masing, dengan menu khas Sego Takir Pecel Pitik yang dibentuk seperti gambar di atas. Dan dilaksanakan sebelum matahari terbenam, tepat ketika pergantian tahun Hijriyah 1440 ke 1441. Selametan dimulai dengan dzikir bersama, yang dipandu oleh pemuka agama desa, Bapak Maskur Husni langsung dari masjid, melalui pengeras suara. Masyarakat pun mengikuti berdzikir bersama di depan rumah masing-masing, yang dilanjutkan dengan doa akhir tahun, dan diakhiri dengan makan bersama keluarga dan tetangga terdekat. Menurut salah satu warga setempat, alasan kenapa harus berada di latar (di depan rumah), ditujukan agar hubungan sesama tetangga semakin rukun dan lebih saling welas asih, terutama jika ad
Baca selengkapnya