Heim  >  Artikel  >  Backend-Entwicklung  >  Die Datenbank in PHP implementiert sicherere permanente Anmelde- und Erinnerungsfunktionen

Die Datenbank in PHP implementiert sicherere permanente Anmelde- und Erinnerungsfunktionen

墨辰丷
墨辰丷Original
2018-06-11 14:05:532233Durchsuche

In diesem Artikel werden hauptsächlich die Funktionen der Datenbank in PHP vorgestellt, um eine sicherere dauerhafte Anmeldung zu erreichen. Interessierte Freunde können sich darauf beziehen. Ich hoffe, dass er für alle hilfreich ist.

Persistente Anmeldung bezieht sich auf einen Mechanismus zur kontinuierlichen Authentifizierung zwischen Browsersitzungen. Mit anderen Worten: Ein Benutzer, der heute angemeldet ist, wird auch morgen noch angemeldet sein, selbst wenn Benutzersitzungen zwischen Besuchen ablaufen. Das Vorhandensein dauerhafter Anmeldungen verringert die Sicherheit Ihres Authentifizierungsmechanismus, erhöht jedoch die Benutzerfreundlichkeit. Bieten Sie Benutzern die Möglichkeit, sich die Anmeldung zu merken, anstatt sich bei jedem Besuch mühsam authentifizieren zu müssen.

Nach meinen Beobachtungen besteht das häufigste fehlerhafte permanente Anmeldeschema darin, den Benutzernamen und das Passwort in einem Cookie zu speichern. Die Versuchung dazu ist verständlich – anstatt den Benutzer nach Benutzername und Passwort zu fragen, können Sie diese einfach aus dem Cookie ablesen. Der Rest des Verifizierungsprozesses ist genau der gleiche wie bei einer normalen Anmeldung, daher ist dieses Szenario einfach.

Wenn Sie jedoch Ihren Benutzernamen und Ihr Passwort in Cookies speichern, deaktivieren Sie diese Funktion bitte sofort und lesen Sie den Rest dieses Abschnitts, um einige Ideen für die Implementierung einer sichereren Lösung zu finden. Sie müssen außerdem alle Benutzer, die dieses Cookie verwenden, dazu auffordern, ihre Passwörter in Zukunft zu ändern, da ihre Authentifizierungsinformationen offengelegt wurden.

Für die dauerhafte Anmeldung ist ein permanentes Anmelde-Cookie erforderlich, das oft als Authentifizierungs-Cookie bezeichnet wird, da Cookies der einzige Standardmechanismus sind, der verwendet wird, um stabile Daten über mehrere Sitzungen hinweg bereitzustellen. Wenn das Cookie einen dauerhaften Zugriff ermöglicht, stellt es ein ernstes Risiko für die Sicherheit Ihrer Anwendung dar. Sie müssen daher sicherstellen, dass die von Ihnen im Cookie gespeicherten Daten nur für einen begrenzten Zeitraum zur Authentifizierung verwendet werden können.

Der erste Schritt besteht darin, eine Möglichkeit zu finden, das Risiko zu mindern, das von erfassten dauerhaften Anmeldecookies ausgeht. Während Sie die Erfassung von Cookies vermeiden möchten, ist ein tiefgreifender Verteidigungsprozess am besten, insbesondere da dieser Mechanismus Ihr Validierungsformular weniger sicher machen kann, selbst wenn alles einwandfrei funktioniert. Auf diese Weise kann das Cookie nicht auf der Grundlage von Informationen generiert werden, die eine dauerhafte Anmeldung ermöglichen, wie beispielsweise dem Passwort des Benutzers.

Um die Verwendung des Passworts des Benutzers zu vermeiden, können Sie eine Identität erstellen, die nur für eine einmalige Verifizierung gültig ist:

Der Code lautet wie folgt:

<?php
$token = md5(uniqid(rand(), TRUE));
?>


Sie können es in der Benutzersitzung speichern, um es einem bestimmten Benutzer zuzuordnen. Dies hilft Ihnen jedoch nicht, über mehrere Sitzungen hinweg angemeldet zu bleiben, was eine wichtige Voraussetzung ist. Daher müssen Sie eine andere Methode verwenden, um diese Identität einem bestimmten Benutzer zuzuordnen.

Da der Benutzername weniger vertraulich ist als das Passwort, können Sie ihn in einem Cookie speichern, was dem Authentifikator helfen kann, die Identität des Benutzers zu bestätigen. Ein besserer Ansatz besteht jedoch darin, eine sekundäre Identität zu verwenden, die schwer zu erraten und zu entdecken ist. Erwägen Sie das Hinzufügen von drei Feldern zur Datentabelle, in der Benutzernamen und Passwörter gespeichert werden: eine zweite Identität (Identifikator), eine permanente Anmeldeidentifikation (Token) und ein permanentes Anmelde-Timeout (Timeout).

Der Code lautet wie folgt:

mysql> DESCRIBE users;
+------------+------------------+------+-----+---------+-------+
| Field      | Type             | Null | Key | Default | Extra |
+------------+------------------+------+-----+---------+-------+
| username   | varchar(25)      |      | PRI |         |       |
| password   | varchar(32)      | YES  |     | NULL    |       |
| identifier | varchar(32)      | YES  | MUL | NULL    |       |
| token      | varchar(32)      | YES  |     | NULL    |       |
| timeout    | int(10) unsigned | YES  |     | NULL    |       |
+------------+------------------+------+-----+---------+-------+


Durch Generieren und Speichern einer zweiten Identitäts-ID und einer permanenten Login-ID können Sie ein Cookie erstellen, das keine Benutzerauthentifizierungsinformationen enthält.

Der Code lautet wie folgt:

<?php
$salt = &#39;SHIFLETT&#39;;
$identifier = md5($salt . md5($username . $salt));
$token = md5(uniqid(rand(), TRUE));
$timeout = time() + 60 * 60 * 24 * 7;
setcookie(&#39;auth&#39;, "$identifier:$token", $timeout);
?>

Wenn ein Benutzer ein permanentes Login-Cookie verwendet, können Sie überprüfen, ob es mehrere Kriterien erfüllt:

Der Code lautet wie folgt:

<?php
/* mysql_connect() */
/* mysql_select_db() */
$clean = array();
$mysql = array();
$now = time();
$salt = &#39;SHIFLETT&#39;;
list($identifier, $token) = explode(&#39;:&#39;, $_COOKIE[&#39;auth&#39;]);
if (ctype_alnum($identifier) && ctype_alnum($token))
{
  $clean[&#39;identifier&#39;] = $identifier;
  $clean[&#39;token&#39;] = $token;
}
else
{
  /* ... */
}
$mysql[&#39;identifier&#39;] = mysql_real_escape_string($clean[&#39;identifier&#39;]);
$sql = "SELECT username, token, timeout
        FROM   users
        WHERE  identifier = &#39;{$mysql[&#39;identifier&#39;]}&#39;";
if ($result = mysql_query($sql))
{
  if (mysql_num_rows($result))
  {
    $record = mysql_fetch_assoc($result);
    if ($clean[&#39;token&#39;] != $record[&#39;token&#39;])
    {
      /* Failed Login (wrong token) */
    }
    elseif ($now > $record[&#39;timeout&#39;])
    {
      /* Failed Login (timeout) */
    }
    elseif ($clean[&#39;identifier&#39;] !=
            md5($salt . md5($record[&#39;username&#39;] . $salt)))
    {
      /* Failed Login (invalid identifier) */
    }
    else
    {
      /* Successful Login */
    }
  }
  else
  {
    /* Failed Login (invalid identifier) */
  }
}
else
{
  /* Error */
}
?>

Sie sollten darauf bestehen, die Verwendung permanenter Login-Cookies in dreierlei Hinsicht einzuschränken.

1. Cookies müssen innerhalb einer Woche (oder weniger) ablaufen
2. Cookies sollten vorzugsweise nur für eine Überprüfung verwendet werden (löschen oder neu generieren nach einer erfolgreichen Überprüfung)
3 Begrenzen Sie das Cookie innerhalb einer Woche (oder weniger) auf der Serverseite ablaufen

Wenn Sie möchten, dass der Benutzer auf unbestimmte Zeit in Erinnerung bleibt, dann solange der Benutzer Ihre Anwendung häufiger besucht als die Ablaufzeit. Wenn es groß ist, einfach Generieren Sie die Kennung neu und setzen Sie nach jeder Überprüfung ein neues Cookie.

Ein weiteres nützliches Prinzip besteht darin, von Benutzern die Eingabe eines Passworts zu verlangen, bevor sie vertrauliche Vorgänge ausführen. Sie sollten dauerhaft angemeldeten Benutzern nur den Zugriff auf Funktionen Ihrer App ermöglichen, die nicht besonders sensibel sind. Es ist ein unersetzlicher Schritt, Benutzer zu bitten, vor der Durchführung einiger sensibler Vorgänge eine manuelle Überprüfung durchzuführen.

Abschließend müssen Sie bestätigen, dass der Benutzer, der sich vom System abgemeldet hat, tatsächlich abgemeldet ist. Dazu gehört auch das Löschen des permanenten Anmeldecookies:

Der Code lautet wie folgt:

<?php
setcookie(&#39;auth&#39;, &#39;DELETED!&#39;, time());
?>

Im obigen Beispiel wird das Cookie mit nutzlosen Werten gefüllt und so eingestellt, dass es sofort abläuft. Selbst wenn die Uhr eines Benutzers ungenau bleibt und das Cookie gültig bleibt, wird er auf diese Weise effektiv abgemeldet.

Zusammenfassung: Das Obige ist der gesamte Inhalt dieses Artikels, ich hoffe, dass er für das Studium aller hilfreich sein wird.

Verwandte Empfehlungen:

PHP stellt über einen Ajax-Aufruf eine Verbindung zum Baidu-Effekt her, um die Funktion zu realisieren, zu erkennen, ob die Website mit dem Internet verbunden ist

PHP-Durchquerung und Suche nach Zeichenfolgen

PHP-WeChat-Schnittstelle implementiert QR-Code-Generierungsklasse

Das obige ist der detaillierte Inhalt vonDie Datenbank in PHP implementiert sicherere permanente Anmelde- und Erinnerungsfunktionen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn