Heim  >  Artikel  >  Backend-Entwicklung  >  Wie man mit PHP-Anmeldefehlern umgeht

Wie man mit PHP-Anmeldefehlern umgeht

藏色散人
藏色散人Original
2021-03-19 09:14:384367Durchsuche

So gehen Sie mit PHP-Anmeldefehlern um: Erstellen Sie zunächst eine Tabelle, um Benutzeranmeldeinformationen aufzuzeichnen. Fragen Sie dann die Tabelle user_login_info ab, um festzustellen, ob in den letzten 30 Minuten Datensätze zu zugehörigen Kennwortfehlern vorhanden sind die festgelegte Anzahl von Fehlern; schließlich legen Sie die Grenze für die Anzahl falscher Anmeldekennwörter fest.

Wie man mit PHP-Anmeldefehlern umgeht

Die Betriebsumgebung dieses Artikels: Windows 7-System, PHP-Version 7.1, DELL G3-Computer

PHP implementiert eine Begrenzung der Anzahl fehlgeschlagener Anmeldungen

Begrenzung der Anzahl falscher Anmeldekennwörter

Die Bedeutung der Sicherheit für jede Website liegt auf der Hand. Unter anderem ist die Anmeldung eine Stelle auf der Website, die anfälliger für Angriffe ist. Wie können wir also die Sicherheit der Anmeldefunktion erhöhen?

Schauen wir uns zunächst an, wie einige bekannte Websites dies tun 30 Minuten gesperrt.

Der Hauptgrund, warum Github dies tut, liegt meiner Meinung nach hauptsächlich in den folgenden Überlegungen: Verhindern Sie, dass die Passwörter von Benutzerkonten gewaltsam geknackt werden

Implementierungsideen

Da so viele Websites über eine solche Anmeldefunktion verfügen, Wie setzt man es konkret um? Lassen Sie uns als Nächstes ausführlich darüber sprechen.

Idee

Eine Tabelle (user_login_info) wird benötigt, um Benutzeranmeldeinformationen aufzuzeichnen, unabhängig davon, ob die Anmeldung erfolgreich war oder fehlgeschlagen ist. Und es muss unterscheiden können, ob die Anmeldung fehlgeschlagen oder erfolgreich war.

Fragen Sie bei jeder Anmeldung zunächst die Tabelle „user_login_info“ ab, um zu sehen, ob Datensätze zu Passwortfehlern in den letzten 30 Minuten vorhanden sind (vorausgesetzt, der Benutzer wird für 30 Minuten deaktiviert, nachdem die Anzahl der Passwortfehler das Fünffache erreicht hat). , und zählen Sie dann, ob die Gesamtzahl der Datensätze die festgelegte Anzahl von Fehlern erreicht. Wenn derselbe Benutzer unter derselben IP innerhalb von 30 Minuten die festgelegte Anzahl falscher Passwörter erreicht, wird dem Benutzer die Anmeldung nicht gestattet.

【Empfohlen:

PHP-Video-Tutorial

Spezifischer Code und Tabellendesign

Tabellendesign

user_login_info-Tabelle

   CREATE TABLE `user_login_info` (
       `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT  NOT NULL,
       `uid` int(10) UNSIGNED NOT NULL,
       `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP',
       `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP 
       COMMENT '用户登陆时间',
       `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态' 
       COMMENT '0 正确 2错误'
    ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user表(用户表)
   CREATE TABLE `user` (
      `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
      `name` varchar(100) NOT NULL COMMENT '用户名',
      `email` varchar(100) NOT NULL,
      `pass` varchar(255) NOT NULL,
      `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用',
       PRIMARY key(id)
    ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
核心代码
<?php
 
class Login
{
 
    protected $pdo;
 
    public function __construct()
    {
        //链接数据库
        $this->connectDB();
    }
 
    protected function connectDB()
    {
        $dsn = "mysql:host=localhost;dbname=demo;charset=utf8";
        $this->pdo = new PDO($dsn, &#39;root&#39;, &#39;root&#39;);
    }
 
    //显示登录页
    public function loginPage()
    {
          include_once(&#39;./html/login.html&#39;);
 
    }
 
    //接受用户数据做登录
    public function handlerLogin()
    {
 
        $email = $_POST[&#39;email&#39;];
        $pass = $_POST[&#39;pass&#39;];
 
        //根据用户提交数据查询用户信息
        $sql = "select id,name,pass,reg_time from user where email = ?";
        $stmt = $this->pdo->prepare($sql);
        $stmt->execute([$email]);
 
        $userData = $stmt->fetch(\PDO::FETCH_ASSOC);
 
        //没有对应邮箱
        if ( empty($userData) ) {
 
            echo &#39;登录失败1&#39;;
 
            echo &#39;<meta http-equiv="refresh" content="2;url=./login.php">&#39;;
            exit;
        }
 
        //检查用户最近30分钟密码错误次数
        $res = $this->checkPassWrongTime($userData[&#39;id&#39;]);
 
        //错误次数超过限制次数
        if ( $res === false ) {
            echo &#39;你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min&#39;;
 
            echo &#39;<meta http-equiv="refresh" content="2;url=./login.php">&#39;;
            exit;
        }
 
 
        //判断密码是否正确
        $isRightPass = password_verify($pass, $userData[&#39;pass&#39;]);
 
        //登录成功
        if ( $isRightPass ) {
 
            echo &#39;登录成功&#39;;
            exit;
        } else {
 
            //记录密码错误次数
            $this->recordPassWrongTime($userData[&#39;id&#39;]);
 
            echo &#39;登录失败2&#39;;
            echo &#39;<meta http-equiv="refresh" content="2;url=./login.php">&#39;;
            exit;
        }
 
    }
 
    //记录密码输出信息
    protected function recordPassWrongTime($uid)
    {
 
        //ip2long()函数可以将IP地址转换成数字
        $ip = ip2long( $_SERVER[&#39;REMOTE_ADDR&#39;] );
 
        $time = date(&#39;Y-m-d H:i:s&#39;);
        $sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,&#39;{$time}&#39;,2)";
 
 
        $stmt = $this->pdo->prepare($sql);
 
        $stmt->execute();
    }
 
    /**
     * 检查用户最近$min分钟密码错误次数
     * $uid 用户ID
     * $min  锁定时间
     * $wTIme 错误次数
     * @return 错误次数超过返回false,其他返回错误次数,提示用户
     */
    protected function checkPassWrongTime($uid, $min=30, $wTime=3)
    {
 
        if ( empty($uid) ) {
 
            throw new \Exception("第一个参数不能为空");
 
        }
 
        $time = time();
        $prevTime = time() - $min*60;
 
        //用户所在登录ip
        $ip = ip2long( $_SERVER[&#39;REMOTE_ADDR&#39;] );
 
 
        //pass_wrong_time_status代表用户输出了密码
        $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";
 
        $stmt = $this->pdo->prepare($sql);
 
        $stmt->execute();
 
        $data = $stmt->fetchAll(\PDO::FETCH_ASSOC);
 
 
        //统计错误次数
        $wrongTime = count($data);
 
        //判断错误次数是否超过限制次数
        if ( $wrongTime > $wTime ) {
            return false;
        }
 
        return $wrongTime;
 
    }
 
    public function __call($methodName, $params)
    {
 
        echo &#39;访问的页面不存在&#39;,&#39;<a href="./login.php">返回登录页</a>&#39;;
    }
}
 
$a = @$_GET[&#39;a&#39;]?$_GET[&#39;a&#39;]:&#39;loginPage&#39;;
 
 
$login = new Login();
 
$login->$a();

Das obige ist der detaillierte Inhalt vonWie man mit PHP-Anmeldefehlern umgeht. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn