>백엔드 개발 >PHP 문제 >PHP 로그인 실패를 처리하는 방법

PHP 로그인 실패를 처리하는 방법

藏色散人
藏色散人원래의
2021-03-19 09:14:384417검색

PHP 로그인 실패 처리 방법: 먼저 사용자 로그인 정보를 기록하는 테이블을 만든 다음 user_login_info 테이블을 쿼리하여 지난 30분 동안 관련 비밀번호 오류 기록이 있는지 확인한 다음 총 레코드 수가 도달했는지 계산합니다. 설정된 오류 수 ; 마지막으로 잘못된 로그인 비밀번호 수에 대한 제한을 설정합니다.

PHP 로그인 실패를 처리하는 방법

이 문서의 운영 환경: Windows 7 시스템, PHP 버전 7.1, DELL G3 컴퓨터

PHP는 로그인 실패 횟수에 대한 제한을 구현합니다.

잘못된 로그인 비밀번호 수에 대한 제한

모든 웹사이트에서 보안의 중요성은 자명합니다. 그 중 로그인은 웹사이트에서 공격에 더욱 취약한 부분인데, 로그인 기능의 보안을 어떻게 강화할 수 있을까요?

먼저 잘 알려진 웹사이트가 어떻게 하는지 살펴보겠습니다

Github

Github 웹사이트 Github 웹사이트의 동일한 계정이 동일한 IP 주소에 일정 횟수 잘못된 비밀번호를 입력하면 해당 계정은 30분 동안 잠겨 있습니다.

Github이 이렇게 하는 주된 이유는 주로 다음 고려 사항에 기초한 것 같습니다:

사용자의 계정 비밀번호가 폭력적으로 크랙되는 것을 방지

구현 아이디어

많은 웹사이트의 로그인 기능에 이것이 있기 때문에 함수, 구체적으로 어떻게 구현하나요? 아래에서 자세히 이야기해 보겠습니다.

Idea

로그인 성공, 실패 여부에 따라 사용자 로그인 정보를 기록하는 테이블(user_login_info)이 필요합니다. 그리고 로그인이 실패했는지, 성공했는지 구별할 수 있어야 합니다.

로그인할 때마다 먼저 user_login_info 테이블을 쿼리하여 최근 30분 동안 비밀번호 오류와 관련된 기록이 있는지 확인합니다. (비밀번호 오류 횟수가 5회 도달 후 30분 동안 사용자가 비활성화된다는 가정) , 총 레코드 수가 설정된 오류 수에 도달했는지 여부를 계산합니다.

동일 IP의 동일 사용자가 30분 이내에 설정된 비밀번호 오류 횟수에 도달하면 해당 사용자는 로그인이 불가능합니다.

【추천: PHP 비디오 튜토리얼

특정 코드 및 테이블 디자인

테이블 디자인

user_login_info 테이블

   CREATE TABLE `user_login_info` (
       `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT  NOT NULL,
       `uid` int(10) UNSIGNED NOT NULL,
       `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP',
       `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP 
       COMMENT '用户登陆时间',
       `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态' 
       COMMENT '0 正确 2错误'
    ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user表(用户表)
   CREATE TABLE `user` (
      `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
      `name` varchar(100) NOT NULL COMMENT '用户名',
      `email` varchar(100) NOT NULL,
      `pass` varchar(255) NOT NULL,
      `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用',
       PRIMARY key(id)
    ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
核心代码
<?php
 
class Login
{
 
    protected $pdo;
 
    public function __construct()
    {
        //链接数据库
        $this->connectDB();
    }
 
    protected function connectDB()
    {
        $dsn = "mysql:host=localhost;dbname=demo;charset=utf8";
        $this->pdo = new PDO($dsn, &#39;root&#39;, &#39;root&#39;);
    }
 
    //显示登录页
    public function loginPage()
    {
          include_once(&#39;./html/login.html&#39;);
 
    }
 
    //接受用户数据做登录
    public function handlerLogin()
    {
 
        $email = $_POST[&#39;email&#39;];
        $pass = $_POST[&#39;pass&#39;];
 
        //根据用户提交数据查询用户信息
        $sql = "select id,name,pass,reg_time from user where email = ?";
        $stmt = $this->pdo->prepare($sql);
        $stmt->execute([$email]);
 
        $userData = $stmt->fetch(\PDO::FETCH_ASSOC);
 
        //没有对应邮箱
        if ( empty($userData) ) {
 
            echo &#39;登录失败1&#39;;
 
            echo &#39;<meta http-equiv="refresh" content="2;url=./login.php">&#39;;
            exit;
        }
 
        //检查用户最近30分钟密码错误次数
        $res = $this->checkPassWrongTime($userData[&#39;id&#39;]);
 
        //错误次数超过限制次数
        if ( $res === false ) {
            echo &#39;你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min&#39;;
 
            echo &#39;<meta http-equiv="refresh" content="2;url=./login.php">&#39;;
            exit;
        }
 
 
        //判断密码是否正确
        $isRightPass = password_verify($pass, $userData[&#39;pass&#39;]);
 
        //登录成功
        if ( $isRightPass ) {
 
            echo &#39;登录成功&#39;;
            exit;
        } else {
 
            //记录密码错误次数
            $this->recordPassWrongTime($userData[&#39;id&#39;]);
 
            echo &#39;登录失败2&#39;;
            echo &#39;<meta http-equiv="refresh" content="2;url=./login.php">&#39;;
            exit;
        }
 
    }
 
    //记录密码输出信息
    protected function recordPassWrongTime($uid)
    {
 
        //ip2long()函数可以将IP地址转换成数字
        $ip = ip2long( $_SERVER[&#39;REMOTE_ADDR&#39;] );
 
        $time = date(&#39;Y-m-d H:i:s&#39;);
        $sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,&#39;{$time}&#39;,2)";
 
 
        $stmt = $this->pdo->prepare($sql);
 
        $stmt->execute();
    }
 
    /**
     * 检查用户最近$min分钟密码错误次数
     * $uid 用户ID
     * $min  锁定时间
     * $wTIme 错误次数
     * @return 错误次数超过返回false,其他返回错误次数,提示用户
     */
    protected function checkPassWrongTime($uid, $min=30, $wTime=3)
    {
 
        if ( empty($uid) ) {
 
            throw new \Exception("第一个参数不能为空");
 
        }
 
        $time = time();
        $prevTime = time() - $min*60;
 
        //用户所在登录ip
        $ip = ip2long( $_SERVER[&#39;REMOTE_ADDR&#39;] );
 
 
        //pass_wrong_time_status代表用户输出了密码
        $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";
 
        $stmt = $this->pdo->prepare($sql);
 
        $stmt->execute();
 
        $data = $stmt->fetchAll(\PDO::FETCH_ASSOC);
 
 
        //统计错误次数
        $wrongTime = count($data);
 
        //判断错误次数是否超过限制次数
        if ( $wrongTime > $wTime ) {
            return false;
        }
 
        return $wrongTime;
 
    }
 
    public function __call($methodName, $params)
    {
 
        echo &#39;访问的页面不存在&#39;,&#39;<a href="./login.php">返回登录页</a>&#39;;
    }
}
 
$a = @$_GET[&#39;a&#39;]?$_GET[&#39;a&#39;]:&#39;loginPage&#39;;
 
 
$login = new Login();
 
$login->$a();

위 내용은 PHP 로그인 실패를 처리하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.