>백엔드 개발 >PHP 문제 >PHP 사용자가 로그인할 때 주의해야 할 점은 무엇입니까?

PHP 사용자가 로그인할 때 주의해야 할 점은 무엇입니까?

(*-*)浩
(*-*)浩원래의
2019-09-16 09:48:082345검색

PHP 사용자가 로그인 시 주의할 점은 무엇인가요?

PHP 사용자가 로그인할 때 주의해야 할 점은 무엇입니까?

비밀번호는 MD5(비밀번호 + 문자열)를 사용하여 암호화해야 합니다.

테이블 필드 노출을 방지하려면 로그인 양식의 이름이 데이터베이스 필드와 동일해서는 안 됩니다.

사용자 테이블의 테이블 이름, 필드 이름, 비밀번호는 추측하기 어려워야 합니다.

무차별 대입 크래킹을 방지하려면 인증 코드를 사용하여 로그인을 확인하세요.

제출된 데이터가 이 웹사이트에서 가져온 것인지 확인하세요. (추천 학습: PHP 프로그래밍 입문부터 숙련까지 )

로그인 백그라운드 처리 코드의 데이터베이스 부분은 전처리 및 필터링을 사용하여 방지합니다. SQL 주입.

예: 인증 처리, 이메일 확인, 계정 업데이트(비밀번호, 이메일) 등을 처리해야 합니다.

<?php
     function user_change_email ($password1,$new_email,$user_name) {
      global $feedback,$hidden_hash_var;
      if (validate_email($new_email)) {
        $hash=md5($new_email.$hidden_hash_var);
        file://改变数据库中确认用的无序码值,但不改变email
       file://发出一个带有新认证码的确认email
        $user_name=strtolower($user_name);
        $password1=strtolower($password1);
        $sql="UPDATE user SET confirm_hash=&#39;$hash&#39; WHERE user_name=&#39;$user_name&#39; AND password=&#39;". md5($password1) ."&#39;";
        $result=db_query($sql);
        if (!$result || db_affected_rows($result) < 1) {
         $feedback .= &#39; ERROR - Incorrect User Name Or Password &#39;;
         return false;
         } else {
          $feedback .= &#39; Confirmation Sent &#39;;
          user_send_confirm_email($new_email,$hash);
          return true;
          }
        } else {
          $feedback .= &#39; New Email Address Appears Invalid &#39;;
          return false;
         }
        }
     function user_confirm($hash,$email) {
       /*
        用户点击认证email的相关连接时,连到一个确认的页面,该页面会调用这个函数,
       */
      global $feedback,$hidden_hash_var;
       file://verify that they didn&#39;t tamper with the email address
       $new_hash=md5($email.$hidden_hash_var);
       if ($new_hash && ($new_hash==$hash)) {
         file://在数据库中找出这个记录
         $sql="SELECT * FROM user WHERE confirm_hash=&#39;$hash&#39;";
         $result=db_query($sql);
         if (!$result || db_numrows($result) < 1) {
           $feedback .= &#39; ERROR - Hash Not Found &#39;;
           return false;
         } else {
           file://确认email,并且设置帐号为已经激活
           $feedback .= &#39; User Account Updated - You Are Now Logged In &#39;;
           user_set_tokens(db_result($result,0,&#39;user_name&#39;));
           $sql="UPDATE user SET email=&#39;$email&#39;,is_confirmed=&#39;1&#39; WHERE confirm_hash=&#39;$hash&#39;";
           $result=db_query($sql);
           return true;
          }
         } else {
          $feedback .= &#39; HASH INVALID - UPDATE FAILED &#39;;
          return false;
         }
        }
     function user_send_confirm_email($email,$hash) {
       /*
        这个函数在首次注册或者改变email地址时使用
       */
        $message = "Thank You For Registering at Company.com".
        "
Simply follow this link to confirm your registration: ".
       "
http://www.company.com/account/confirm.php?hash=$hash&email=". urlencode($email). "
Once you confirm, you can use the services on PHPBuilder.";
mail ($email,&#39;Registration Confirmation&#39;,$message,&#39;From: noreply@company.com&#39;);
      }
     ?>

아마도 우리는 이 방법을 사용자 인증에 사용하지 않고 세션 및 기타 방법을 사용하지만 이 기사에서는 여전히 암호화 및 확인 방법을 알려줍니다.

위 내용은 PHP 사용자가 로그인할 때 주의해야 할 점은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.