Rumah >pembangunan bahagian belakang >masalah PHP >Bagaimana untuk mengehadkan bilangan kegagalan log masuk dalam PHP
Cara mengehadkan bilangan log masuk yang gagal dalam PHP: 1. Buat jadual untuk merekod maklumat log masuk pengguna 2. Lihat rekod kata laluan yang salah 3. Di bawah IP yang sama, pengguna yang sama akan log masuk; 30 minit Jika bilangan kata laluan yang salah mencapai nombor yang ditetapkan, pengguna tidak akan dibenarkan untuk log masuk.
Persekitaran pengendalian artikel ini: sistem Windows 7, PHP versi 7.1, komputer DELL G3
Bilangan log masuk gagal untuk Had PHP
Hadkan bilangan kata laluan log masuk yang salah
安全对每个网站的重要性,不言自明。
Antaranya, log masuk adalah tempat yang lebih terdedah kepada serangan di laman web, jadi bagaimana bolehkah kita meningkatkan keselamatan fungsi log masuk?
Mari kita lihat dahulu bagaimana beberapa tapak web terkenal melakukannya
Github
Akaun yang sama di tapak web Github perlu memasukkan kata laluan secara berterusan pada alamat IP yang sama Selepas beberapa kesilapan, akaun akan dikunci selama 30 minit.
Sebab utama mengapa Github melakukan ini, saya fikir, adalah berdasarkan pertimbangan berikut:
Memandangkan fungsi log masuk begitu banyak tapak web mempunyai fungsi ini, bagaimana untuk melaksanakannya secara khusus. Seterusnya, mari kita bincangkan secara terperinci.
Idea
Jadual (user_login_info
) diperlukan untuk merekod maklumat log masuk pengguna, sama ada log masuk berjaya atau gagal. Dan ia perlu dapat membezakan sama ada log masuk gagal atau berjaya.
Setiap kali anda log masuk, semak dahulu daripada user_login_info表
untuk melihat sama ada terdapat sebarang ralat kata laluan yang berkaitan dalam 30 minit terakhir (dengan andaian di sini bahawa pengguna akan dilumpuhkan selama 30 minit selepas bilangan ralat kata laluan mencapai 5 kali) Rekod, dan kemudian hitung sama ada jumlah bilangan rekod mencapai bilangan ralat yang ditetapkan.
user_login_info表
CREATE TABLE `user_login_info` ( `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT NOT NULL, `uid` int(10) UNSIGNED NOT NULL, `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP', `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '用户登陆时间', `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态' COMMENT '0 正确 2错误' ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user表(用户表)
CREATE TABLE `user` ( `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT, `name` varchar(100) NOT NULL COMMENT '用户名', `email` varchar(100) NOT NULL, `pass` varchar(255) NOT NULL, `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用', PRIMARY key(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
<?php class Login { protected $pdo; public function __construct() { //链接数据库 $this->connectDB(); } protected function connectDB() { $dsn = "mysql:host=localhost;dbname=demo;charset=utf8"; $this->pdo = new PDO($dsn, 'root', 'root'); } //显示登录页 public function loginPage() { include_once('./html/login.html'); } //接受用户数据做登录 public function handlerLogin() { $email = $_POST['email']; $pass = $_POST['pass']; //根据用户提交数据查询用户信息 $sql = "select id,name,pass,reg_time from user where email = ?"; $stmt = $this->pdo->prepare($sql); $stmt->execute([$email]); $userData = $stmt->fetch(\PDO::FETCH_ASSOC); //没有对应邮箱 if ( empty($userData) ) { echo '登录失败1'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } //检查用户最近30分钟密码错误次数 $res = $this->checkPassWrongTime($userData['id']); //错误次数超过限制次数 if ( $res === false ) { echo '你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } //判断密码是否正确 $isRightPass = password_verify($pass, $userData['pass']); //登录成功 if ( $isRightPass ) { echo '登录成功'; exit; } else { //记录密码错误次数 $this->recordPassWrongTime($userData['id']); echo '登录失败2'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } } //记录密码输出信息 protected function recordPassWrongTime($uid) { //ip2long()函数可以将IP地址转换成数字 $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); $time = date('Y-m-d H:i:s'); $sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); } /** * 检查用户最近$min分钟密码错误次数 * $uid 用户ID * $min 锁定时间 * $wTIme 错误次数 * @return 错误次数超过返回false,其他返回错误次数,提示用户 */ protected function checkPassWrongTime($uid, $min=30, $wTime=3) { if ( empty($uid) ) { throw new \Exception("第一个参数不能为空"); } $time = time(); $prevTime = time() - $min*60; //用户所在登录ip $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); //pass_wrong_time_status代表用户输出了密码 $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); $data = $stmt->fetchAll(\PDO::FETCH_ASSOC); //统计错误次数 $wrongTime = count($data); //判断错误次数是否超过限制次数 if ( $wrongTime > $wTime ) { return false; } return $wrongTime; } public function __call($methodName, $params) { echo '访问的页面不存在','<a href="./login.php">返回登录页</a>'; } } $a = @$_GET['a']?$_GET['a']:'loginPage'; $login = new Login(); $login->$a();Pembelajaran yang disyorkan: "Tutorial Video PHP"
Atas ialah kandungan terperinci Bagaimana untuk mengehadkan bilangan kegagalan log masuk dalam PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!