<?php  
include '../../function/connect.php';

// Ambil input dari form
$username = $_POST['username'];
$password = $_POST['password']; // Jangan di-hash dulu di sini

// 1. Gunakan Prepared Statement untuk mencari username saja
// Ini mencegah SQL Injection karena input dipisahkan dari struktur query
$stmt = mysqli_prepare($koneksi, "SELECT id, username, password FROM tb_admin WHERE username = ?");
mysqli_stmt_bind_param($stmt, "s", $username);
mysqli_stmt_execute($stmt);
$result = mysqli_stmt_get_result($stmt);

// 2. Cek apakah user ditemukan
if ($user = mysqli_fetch_assoc($result)) {
    
    /**
     * 3. Verifikasi Password
     * Gunakan password_verify() jika kamu menggunakan password_hash() saat mendaftar.
     * Jika database lama masih pakai MD5, ganti baris ini menjadi:
     * if (md5($password) === $user['password']) {
     */
    if (password_verify($password, $user['password'])) {
        
        session_start();
        $_SESSION['id_admin'] = $user['id'];
        $_SESSION['username'] = $user['username'];
        $_SESSION['status']   = "login";
        $_SESSION['level']    = "admin";
        
        header("location:../template/");
        exit(); // Selalu gunakan exit setelah header location
    } else {
        // Password salah
        header("location:../index.php?pesan=gagal");
        exit();
    }
} else {
    // Username tidak ditemukan
    header("location:../index.php?pesan=gagal");
    exit();
}
?>