[과제] 03주차(1) 로그인 페이지 보완

모의 해킹 스터디 - 과제 03주차(1) 로그인 페이지 보완

모의 해킹 스터디 - 2주차 과제 (마이페이지 - 나의 정보)

모의 해킹 스터디 - 과제 02주차(3) (마이페이지 - 나의 정보)

 

로그인 페이지 구현의 Develop 과제

• 비밀번호 변경
• 회원정보 수정
• 회원탈퇴

변경점 (리디렉션 변경)

• home.php
• mypage.php

---

추가된 코드

• 비밀번호 변경
  • edit_pw.php
  • change.php
• 회원정보 수정
  • edit.php
  • update.php
• 회원탈퇴
  • withdraw.php
  • delete.php

---

eidt_pw.php

<!DOCTYPE html>
<html lang="ko">
	<head>
	<meta charset="utf-8">
		<title>Change pw</title>
		<link rel="stylesheet" href="css/style.css">
	</head>
	<body>
	    <div class ="container">
        	<h1 class="spacing grad">Change Password</h1>
            	<?php
                require_once("lib/jwt.php");
                / Cookie 에서 jwt 가져요기
                $token = $_COOKIE['login_token'];
                // jwt에서 유저 정보 가져오기
                $data = $jwt->dehashing($token);
                echo $data['name']. " 님의 비밀번호 변경";
                ?>
                <form method="POST" action="change.php" accept-charset="utf-8" autocomplete="off">
                    <br>
                    <label for="pass_old">기존 비밀번호</label>
                    <input type="password" name="pass_old" placeholder="Old Password"/>
                    
                    <label for="pass_new">변경할 비밀번호</label>
                    <input type="password" name="pass_new" placeholder="New Password"/>
                    
                    <label for="pass_check">비밀번호 재입력</label>
                    <input type="password" name="pass_check" placeholder="Rewrite Password"/>
                    
                    <input type="submit" value="변경">               
                </form>
                <p style='text-align:right'>
                    <a href='/home.php'>뒤로가기</a>
                </p>
	    </div>
	</body>
</html>

• 비밀번호 변경을 위한 폼(form)
  • action = "change.php" : 비밀번호 변경을 위한 확인사항 체크용 .php
  • 기존 비밀번호 : 비밀번호 변경전에 기존의 비밀번호 확인용
  • 변경할 비밀번호 : 새로 바꿀 비밀번호
  • 비밀번호 재입력 : 비밀번호 재확인

---

change.php

<?php
    $pass_old = isset($_POST['pass_old']) ? $_POST['pass_old'] : null;
    $pass_new = isset($_POST['pass_new']) ? $_POST['pass_new'] : null;
    $pass_check = isset($_POST['pass_check']) ? $_POST['pass_check'] : null;

    // 파라미터 체크
    if($pass_old == null || $pass_new == null || $pass_check == null){
    	echo '<script>alert("입력정보가 부족합니다."); history.back(-1)</script>';
        // header("Location: /regist.php");
        exit();
    }
    
    require_once("lib/jwt.php");
    // Cookie 에서 jwt 가져요기
    $token = $_COOKIE['login_token'];
    // jwt에서 유저 정보 가져오기
    $data = $jwt->dehashing($token);

    // DB 정보 조회 (password)
    require_once("inc/db.php");
    $db_conn = db_connect();
    $sql = "SELECT * FROM userTbl WHERE userID= '{$data['id']}'";
    $ret = mysqli_query($db_conn, $sql);
    $row = mysqli_fetch_array($ret);

    
    //입력 비밀번호와 기존 비밀번호 일치 확인
    $match_pw = password_verify($pass_old, $row['pass']);

    if($match_pw === false){
        echo '<script>alert("기존 비밀번호가 일치하지 않습니다."); history.back(-1)</script>';
        exit();
    }

    //기존 비밀번호와 변경 비밀번호 다름 확인
    if($pass_old == $pass_new){
        echo '<script>alert("변경할 비밀번호가 기존 비밀번호와 같습니다."); history.back(-1)</script>';
        exit();
    }

    //재입력 비밀번호 확인
    if($pass_new != $pass_check){
        echo '<script>alert("재입력 비밀번호가 일치하지 않습니다."); history.back(-1)</script>';
        exit();
    }
    
    //비밀번호 암호화
    $bcrypt_pw = password_hash($pass_new, PASSWORD_BCRYPT);
	
    //새로운 비밀번호로 교체 (DB UPDATE)
    $sql = "UPDATE userTbl SET pass='$bcrypt_pw' WHERE userID= '{$data['id']}'";
	$result = mysqli_query($db_conn, $sql);
    if($result){
        echo '<script type="text/javascript">'; 
        echo 'alert("비밀번호 변경이 완료되었습니다.\n로그인 페이지로 이동합니다.");';
        setcookie("login_token", $token, time()-(360*30));
        echo 'document.location.href = "/login.php";';
        echo '</script>';
        exit();
    }else{
        echo "비밀번호 변경 실패 : " . mysqli_error($db_conn);
    }

    mysqli_close($db_conn);
?>

 

• POST 값이 입력이 안된것이 없는지 확인
  • isset 으로 확인 후, 하나라도 비어있으면 이전으로
• 현재 사용자 id 를 이용하여 DB 정보 조회
  • "SELECT * FROM userTbl WHERE userID= '{$data['id']}'";
• 입력 비밀번호와 기존 비밀번호 일치 여부 확인
  • password_verify($pass_old, $row['pass']);
• 기존 비밀번호와 변경 비밀번호가 다른 것을 확인
  • 기존과 같은 비밀번호는 사용할 수 없음
  • if($pass_old == $pass_new) : 같은 경우에 exit() , 다른 경우에 통과
• 재입력 비밀번호 확인
  • 입력 비밀번호의 단순 재확인용
  • if($pass_new != $pass_check)
• 신규 비밀번호 암호화
  • $bcrypt_pw = password_hash($pass_new, PASSWORD_BCRYPT);
• DB에 비밀번호 갱신
  • "UPDATE userTbl SET pass='$bcrypt_pw' WHERE userID= '{$data['id']}'";

---

edit.php

<!DOCTYPE html>
<html lang="ko">
	<head>
	<meta charset="utf-8">
    	<title>Edit Info</title>
        <link rel="stylesheet" href="css/style.css">
	</head>
	<body>
    	<div class ="container">
        	<h1 class="spacing grad">Edit MyInfo</h1>
            	<?php 
                    require_once("lib/jwt.php");
                    // Cookie 에서 jwt 가져요기
                    $token = $_COOKIE['login_token'];
                    // jwt에서 유저 정보 가져오기
                    $data = $jwt->dehashing($token);
                    echo $data['name']. " 님의 회원정보 수정";

                    require_once("inc/db.php");
                    $db_conn = db_connect();
                    $sql = "SELECT * FROM userTbl WHERE userID= '{$data['id']}'";
                    $ret = mysqli_query($db_conn, $sql);
                    $row = mysqli_fetch_array($ret);
                    // 유저 정보 일람
                    $userID = $row['userID'];
                    $name = $row['name'];
                    $email = $row['email'];
                    $birth = $row['birth'];
                    $mDate = $row['mDate'];
                ?>
                <form method="POST" action="update.php" accept-charset="utf-8" autocomplete="off">
                    <br>
                    <label for="userID">아이디 (아이디는 바꾸실 수 없습니다.)</label>
                    <input type="text" name="userID" value=<?php echo $userID ?> readonly>

                    <label for="name">이름</label>
                    <input type="text" name="name" value=<?php echo $name ?>>

                    <label for="email">이메일</label>
                    <input type="email" name="email" value=<?php echo $email ?>>

                    <label for="birth">생년월일</label>
                    <input type="date" name="birth" value=<?php echo $birth ?>>

                    <label for="userID">회원 가입일</label>
                    <input type="text" name="mDate" value=<?php echo $mDate ?> readonly>
                    
                    <input type="submit" value="수정">               
                </form>
                <p style='text-align:right'>
                    <a href='/mypage.php'>뒤로가기</a>
                </p>
	    </div>
	</body>
</html>

• action="update.php"
• 현재 사용자 id 를 이용하여 유저 정보 조회
  • "SELECT * FROM userTbl WHERE userID= '{$data['id']}'";
• 유저 정보를 변경하기 위한 폼(form)
  • 아이디는 변경할 수 없기 때문에 ReadOnly 로 보여는주되 수정 불가능
    
    • 회원 가입일 또한 마찬가지
  • 나머지는 변경이 가능하도록 입력을 받음

---

update.php

<?php
    require_once("inc/db.php");

    $userID = $_POST['userID'];
    $name = $_POST['name'];
    $email = $_POST['email'];
    $birth = $_POST['birth'];

    $db_conn = db_connect();
    $sql = "UPDATE userTbl SET name='$name',email='$email',birth='$birth' WHERE userID= '$userID'";
    $ret = mysqli_query($db_conn, $sql);
    if($ret){
        echo '<script type="text/javascript">'; 
        echo 'alert("회원 정보를 성공적으로 수정했습니다.\마이페이지로 이동합니다.");';
        echo 'document.location.href = "/mypage.php";';
        echo '</script>';
        exit();
    }else{
        echo "회원정보 수정 실패 :" . mysqli_error($db_conn);
    }
    mysqli_close($db_conn);
?>

• POST로 받아온 정보를 이용하여 DB 갱신
  • "UPDATE userTbl SET name='$name',email='$email',birth='$birth' WHERE userID= '$userID'";

---

withdraw.php

<!DOCTYPE html>
<html lang="ko">
	<head>
	<meta charset="utf-8">
		<title>Really?</title>
		<link rel="stylesheet" href="css/style.css">
	</head>
	<body>
	    <div class ="container">
        	<h1 class="spacing grad">Withdraw</h1>
        	<?php require_once("inc/header.php"); ?>
                <?php 
                    require_once("lib/jwt.php");
                    // Cookie 에서 jwt 가져요기
                    $token = $_COOKIE['login_token'];
                    // jwt에서 유저 정보 가져오기
                    $data = $jwt->dehashing($token);
                    echo "정말로 떠나실건가요? " . $data['name'] . " 님";

                    require_once("inc/db.php");
                    $db_conn = db_connect();
                    $sql = "SELECT * FROM userTbl WHERE userID= '{$data['id']}'";
                    $ret = mysqli_query($db_conn, $sql);
                    $row = mysqli_fetch_array($ret);
                    // 유저 정보 일람
                    $userID = $row['userID'];
                    $name = $row['name'];
                ?>
                <form method="POST" action="delete.php">
                    <br>
                    <label for="userID">아이디</label>
                    <input type="text" name="userID" value=<?php echo $userID ?> readonly>

                    <label for="name">이름</label>
                    <input type="text" name="name" value=<?php echo $name ?> readonly>
                    <br><br>
                    <?php echo "정말로 탈퇴하시겠습니까?" ?>
                    <input type="submit" value="회원 탈퇴">
                </form>
                <p style='text-align:right'>
                    <br>
                    <a href='/home.php'>뒤로가기</a>
                </p>
	    </div>
	</body>
</html>

• 현재 사용자 id를 이용하여 DB에서 유저 정보를 받아옴
  • "SELECT * FROM userTbl WHERE userID= '{$data['id']}'";
• 유저 id 와 유저 이름을 보여주면서 진짜 탈퇴할건지 확인
• 아이디와 이름을 보여주는 폼(form)
  • action="delete.php"
  • 아이디와 이름 둘다 확인용이므로 ReadOnly

---

delete.php

<?php
    require_once("inc/db.php");

    $userID = $_POST['userID'];

    $db_conn = db_connect();
    $sql = "DELETE FROM userTbl WHERE userID= '$userID'";
    $ret = mysqli_query($db_conn, $sql);
    if($ret){
        echo '<script type="text/javascript">'; 
        echo 'alert("회원 탈퇴가 완료되었습니다.\안녕히 가십시오.");';
        echo 'document.location.href = "/index.php";';
        echo '</script>';
        exit();
    }else{
        echo "회원 탈퇴 실패 :" . mysqli_error($db_conn);
    }
    mysqli_close($db_conn);
?>

• POST로 받아온 유저 id를 이용하여 DB에서 해당 id의 내용을 전부 삭제
  • "DELETE FROM userTbl WHERE userID= '$userID'";
  • userID 가 PK 이므로, 이것을 기준으로 해당 행의 내용을 전부 삭제

---

후기

• 코드에 쓸모없는 부분이 많이 들어있는 듯 하다는 생각이 듬
• 최대한 간결하게 작성하려 했지만 기능을 나누다보니 더러운 코드가 나왔다는 느낌
• CSS가 발전이 없이 기능 구현에만 신경을 썼다는 아쉬움
• 로그인 유지를 위한 쿠키에 대한 처리 문제
  • 로그인 유지를 위한 쿠키가 삭제했을때 바로 적용되지 못함
  • 새로고침으로 해결하는 방법이 생각이 들었지만 한번만 새로고침하는 방법을 구현 못함
  • 새로고침으로 해결하는 방식은 꼼수이며, SEO 친화적이지 못함 (최적화 문제)
  • 쿠키에 대하여 언제 언제 삭제 해줘야할지를 정확히 파악 못함

 

 

 

질문 환영, 수정 및 보완에 대한 지적 환영