php登入失敗怎麼處理
- 藏色散人原創
- 2021-03-19 09:14:384378瀏覽
php登入失敗的處理方法:先建立一個資料表負責記錄使用者登入的資訊;然後從user_login_info表查詢最近30分鐘內有沒有相關密碼錯誤的記錄;接著統計記錄總條數是否達到設定的錯誤次數;最後設定登入密碼錯誤次數限制即可。
本文操作環境:windows7系統、PHP7.1版,DELL G3電腦
PHP實作登入失敗次數限制
登入密碼錯誤次數限制
安全對每個網站的重要性,不言自明。其中,登陸又是網站中比較容易受到攻擊的一個地方,那麼我們要如何對登陸功能的安全性加強呢?
我們先來看一些知名的網站是如何做的
Github
Github網站同一個帳號在同一個IP位址連續密碼輸錯一定次數後,這個帳號是會被鎖定30分鐘的。
Github這麼做的主要原因,我覺得主要基於以下考慮:
防止用戶的帳號密碼被暴力破解
實現想法
既然這麼多網站的登陸功能都這麼個功能,那麼具體如何實現的。下面,就具體說說。
想法
需要一個表格(user_login_info)負責記錄使用者登入的訊息,不管登入成功或失敗都記錄。而登陸失敗還是成功需要能夠區分開來。
每次登陸時,都先從user_login_info表查詢最近30分鐘內(這裡假設密碼錯誤次數達到5次後,禁用用戶30分鐘)有沒有相關密碼錯誤的記錄,然後統計一下記錄總條數是否達到設定的錯誤次數。
如果在相同IP下,同一個用戶,在30分鐘內密碼錯誤次數達到設定的錯誤次數,就不讓用戶登入了。
【推薦:PHP影片教學】
#具體程式碼與及表設計
表設計
user_login_info表格
CREATE TABLE `user_login_info` (
`id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT NOT NULL,
`uid` int(10) UNSIGNED NOT NULL,
`ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP',
`logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
COMMENT '用户登陆时间',
`pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态'
COMMENT '0 正确 2错误'
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user表(用户表)
CREATE TABLE `user` (
`id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
`name` varchar(100) NOT NULL COMMENT '用户名',
`email` varchar(100) NOT NULL,
`pass` varchar(255) NOT NULL,
`status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用',
PRIMARY key(id)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
核心代码
<?php
class Login
{
protected $pdo;
public function __construct()
{
//链接数据库
$this->connectDB();
}
protected function connectDB()
{
$dsn = "mysql:host=localhost;dbname=demo;charset=utf8";
$this->pdo = new PDO($dsn, 'root', 'root');
}
//显示登录页
public function loginPage()
{
include_once('./html/login.html');
}
//接受用户数据做登录
public function handlerLogin()
{
$email = $_POST['email'];
$pass = $_POST['pass'];
//根据用户提交数据查询用户信息
$sql = "select id,name,pass,reg_time from user where email = ?";
$stmt = $this->pdo->prepare($sql);
$stmt->execute([$email]);
$userData = $stmt->fetch(\PDO::FETCH_ASSOC);
//没有对应邮箱
if ( empty($userData) ) {
echo '登录失败1';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
//检查用户最近30分钟密码错误次数
$res = $this->checkPassWrongTime($userData['id']);
//错误次数超过限制次数
if ( $res === false ) {
echo '你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
//判断密码是否正确
$isRightPass = password_verify($pass, $userData['pass']);
//登录成功
if ( $isRightPass ) {
echo '登录成功';
exit;
} else {
//记录密码错误次数
$this->recordPassWrongTime($userData['id']);
echo '登录失败2';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
}
//记录密码输出信息
protected function recordPassWrongTime($uid)
{
//ip2long()函数可以将IP地址转换成数字
$ip = ip2long( $_SERVER['REMOTE_ADDR'] );
$time = date('Y-m-d H:i:s');
$sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)";
$stmt = $this->pdo->prepare($sql);
$stmt->execute();
}
/**
* 检查用户最近$min分钟密码错误次数
* $uid 用户ID
* $min 锁定时间
* $wTIme 错误次数
* @return 错误次数超过返回false,其他返回错误次数,提示用户
*/
protected function checkPassWrongTime($uid, $min=30, $wTime=3)
{
if ( empty($uid) ) {
throw new \Exception("第一个参数不能为空");
}
$time = time();
$prevTime = time() - $min*60;
//用户所在登录ip
$ip = ip2long( $_SERVER['REMOTE_ADDR'] );
//pass_wrong_time_status代表用户输出了密码
$sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";
$stmt = $this->pdo->prepare($sql);
$stmt->execute();
$data = $stmt->fetchAll(\PDO::FETCH_ASSOC);
//统计错误次数
$wrongTime = count($data);
//判断错误次数是否超过限制次数
if ( $wrongTime > $wTime ) {
return false;
}
return $wrongTime;
}
public function __call($methodName, $params)
{
echo '访问的页面不存在','<a href="./login.php">返回登录页</a>';
}
}
$a = @$_GET['a']?$_GET['a']:'loginPage';
$login = new Login();
$login->$a();以上是php登入失敗怎麼處理的詳細內容。更多資訊請關注PHP中文網其他相關文章!
陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
上一篇:如何在本機安裝php環境下一篇:如何在本機安裝php環境