php怎麼實現登入失敗次數限制
- 藏色散人原創
- 2022-01-12 10:27:073382瀏覽
php實現登入失敗次數限制的方法:1、建立一個表格用於負責記錄使用者登入的資訊;2、查看密碼錯誤的記錄;3、在相同IP下,同一個使用者在30分鐘內密碼錯誤次數達到設定的錯誤次數,就不讓使用者登入。
本文操作環境:windows7系統、PHP7.1版、DELL G3電腦
PHP實作登入失敗次數限制
登入密碼錯誤次數限制
安全對每個網站的重要性,不言自明。 其中,登陸又是網站中比較容易受到攻擊的一個地方,那我們要如何對登陸功能的安全性加強呢?
我們先來看一些知名的網站是如何做的
Github
Github網站同一個帳號在同一個IP位址連續密碼輸錯一定次數後,這個帳號是會被鎖定30分鐘的。
Github這麼做的主要原因,我覺得主要基於以下考慮:
- 防止使用者的帳號密碼被暴力破解
實現想法
既然這麼多網站的登陸功能都這麼功能,那麼具體如何實現的。下面,就具體說說。
想法
需要一個表(
user_login_info)負責記錄使用者登入的訊息,不管登入成功或失敗都記錄。而登陸失敗還是成功需要能夠區分開來。每次登陸時,都先從
user_login_info表查詢最近30分鐘內(這裡假設密碼錯誤次數達到5次後,禁用用戶30分鐘)有沒有相關密碼錯誤的記錄,然後統計記錄總條數是否達到設定的錯誤次數。
- 如果在相同IP下,同一個用戶,在30分鐘內密碼錯誤次數達到設定的錯誤次數,就不讓用戶登入了。
具體程式碼與及表格設計
- 表設計
user_login_info表CREATE TABLE `user_login_info` ( `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT NOT NULL, `uid` int(10) UNSIGNED NOT NULL, `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP', `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '用户登陆时间', `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态' COMMENT '0 正确 2错误' ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user表(使用者表)CREATE TABLE `user` ( `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT, `name` varchar(100) NOT NULL COMMENT '用户名', `email` varchar(100) NOT NULL, `pass` varchar(255) NOT NULL, `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用', PRIMARY key(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
- 核心程式碼
connectDB(); } protected function connectDB() { $dsn = "mysql:host=localhost;dbname=demo;charset=utf8"; $this->pdo = new PDO($dsn, 'root', 'root'); } //显示登录页 public function loginPage() { include_once('./html/login.html'); } //接受用户数据做登录 public function handlerLogin() { $email = $_POST['email']; $pass = $_POST['pass']; //根据用户提交数据查询用户信息 $sql = "select id,name,pass,reg_time from user where email = ?"; $stmt = $this->pdo->prepare($sql); $stmt->execute([$email]); $userData = $stmt->fetch(\PDO::FETCH_ASSOC); //没有对应邮箱 if ( empty($userData) ) { echo '登录失败1'; echo ''; exit; } //检查用户最近30分钟密码错误次数 $res = $this->checkPassWrongTime($userData['id']); //错误次数超过限制次数 if ( $res === false ) { echo '你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min'; echo ''; exit; } //判断密码是否正确 $isRightPass = password_verify($pass, $userData['pass']); //登录成功 if ( $isRightPass ) { echo '登录成功'; exit; } else { //记录密码错误次数 $this->recordPassWrongTime($userData['id']); echo '登录失败2'; echo ''; exit; } } //记录密码输出信息 protected function recordPassWrongTime($uid) { //ip2long()函数可以将IP地址转换成数字 $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); $time = date('Y-m-d H:i:s'); $sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); } /** * 检查用户最近$min分钟密码错误次数 * $uid 用户ID * $min 锁定时间 * $wTIme 错误次数 * @return 错误次数超过返回false,其他返回错误次数,提示用户 */ protected function checkPassWrongTime($uid, $min=30, $wTime=3) { if ( empty($uid) ) { throw new \Exception("第一个参数不能为空"); } $time = time(); $prevTime = time() - $min*60; //用户所在登录ip $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); //pass_wrong_time_status代表用户输出了密码 $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); $data = $stmt->fetchAll(\PDO::FETCH_ASSOC); //统计错误次数 $wrongTime = count($data); //判断错误次数是否超过限制次数 if ( $wrongTime > $wTime ) { return false; } return $wrongTime; } public function __call($methodName, $params) { echo '访问的页面不存在','返回登录页'; } } $a = @$_GET['a']?$_GET['a']:'loginPage'; $login = new Login(); $login->$a();推薦學習:《PHP影片教學》
以上是php怎麼實現登入失敗次數限制的詳細內容。更多資訊請關注PHP中文網其他相關文章!
陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
上一篇:php怎麼實作陣列去重下一篇:php怎麼實作陣列去重