// LOGIN VALIDATIONif(isset($_POST['login'])){ if((!empty($_POST['email']

1. // LOGIN VALIDATION
2. if(isset($_POST['login'])){
3.     if((!empty($_POST['email'])) AND (!empty($_POST['password']))){
4.         $email = $_POST['email'];
5.         $password = $_POST['password'];
6.        
7.         // PREPARE STATEMENT TO AVOID SQL INJECTION
8.         $sql = "SELECT id, email, password FROM users WHERE email = :email AND access_level > 0 LIMIT 1";
9.         $results = $db_connect->prepare($sql);
10.         if($results->execute(array(':email' => $email))){
11.             $user_data = $results->fetch();
12.             $account_found = $results->rowCount();
13.             if ($account_found != 0) {
14.                 $db_user_id = $user_data['id'];
15.                 $db_email = $user_data['email'];
16.                 $db_password = $user_data['password'];
17.  
18.                 // BRUTE FORCE CHECK
19.                 $remote_ip = $_SERVER['REMOTE_ADDR'];
20.                 $sql = "
21.    SELECT  attempt_nr
22.    FROM    users_login_attempts
23.    WHERE   user_id = :userid
24.    AND     time > DATE_SUB(NOW(), INTERVAL 1 HOUR)
25.    AND     user_ip = :userip
26.    ";
27.                 $results = $db_connect->prepare($sql);
28.                 if ($results->execute(array(':userid' => $user_id,':userip' => $remote_ip))){
29.                     $count_tries = $results->rowCount();
30.                     if ($count_tries < 5) {
31.                         var_dump($count_tries);
32.                         // PASSWORD VERIFICATION
33.                         if(password_verify($password,$db_password)){
34.                             // SET SESSIONS WITH XXS PROTECTION
35.                             $_SESSION['user_id'] = preg_replace("/[^0-9]+/", "", $db_user_id);
36.                             $user_browser = $_SERVER['HTTP_USER_AGENT'];
37.                             $_SESSION['login_string'] = hash('sha512', $db_user_id.$user_browser);
38.                            
39.                             // SUCCESSFULL
40.                             $log_error .= $database_log_1;
41.                         }else{
42.                             // INCORRECT PASSWORD, INPUT INTO BRUTH FORCE
43.                             $sql = "INSERT INTO users_login_attempts (user_id, time, user_ip) VALUE (:userid,NOW(),:userip)";
44.                             $results = $db_connect->prepare($sql);
45.                             if($results->execute(array(':userid' => $db_user_id,':userip' => $remote_ip))){
46.                                 // RETURN BRUTE FORCE ERROR
47.                                 $log_error .= $database_log_2;
48.                             }else{
49.                                 // DATABASE BRUTE INSERT ERROR
50.                                 $log_error .= $database_log_3;
51.                             }
52.                         }
53.                     }else{
54.                         // BRUTE FORCE LIMIT REACHED
55.                         $log_error .= $database_log_4;
56.                     }
57.                 }else{
58.                     // DATABASE ERROR
59.                     $log_error .= $database_log_5;
60.                 }
61.             }else{
62.                 // IF NO USER EXIST
63.                 $log_error .= $database_log_6;
64.             }
65.         }else{
66.             // DATABASE ERROR
67.             $log_error .= $database_log_7;
68.         }
69.     }else{
70.         // FORM ERROR - NOT ALL FILLED
71.         $log_error .= $database_log_8;
72.     }
73. }