php基于表单密码验证与HTTP验证用法实例，表单实例

首页

后端开发

php教程

php基于表单密码验证与HTTP验证用法实例，表单实例_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 am 10:10 AM

php验证

php基于表单密码验证与HTTP验证用法实例，表单实例

本文实例讲述了php基于表单密码验证与HTTP验证用法。分享给大家供大家参考。具体分析如下：

PHP 的 HTTP 认证机制仅在 PHP 以 Apache 模块方式运行时才有效，因此该功能不适用于 CGI 版本。在 Apache 模块的 PHP 脚本中，可以用 header() 函数来向客户端浏览器发送“Authentication Required”信息，使其弹出一个用户名／密码输入窗口。当用户输入用户名和密码后，包含有 URL 的 PHP 脚本将会加上预定义变量 PHP_AUTH_USER ， PHP_AUTH_PW 和 AUTH_TYPE 被再次调用，这三个变量分别被设定为用户名，密码和认证类型。预定义变量保存在 $_SERVER 或者 $HTTP_SERVER_VARS 数组中。支持“Basic”和“Digest”（自 PHP 5.1.0 起）认证方法。感兴趣的朋友可以参阅header()函数相关信息。

PHP 版本问题: Autoglobals 全局变量，包括 $_SERVER 等，自 PHP 4.1.0 起有效， $HTTP_SERVER_VARS 从 PHP 3 开始有效。

以下是在页面上强迫客户端认证的脚本范例.

例子 34-1. Basic HTTP 认证范例

复制代码代码如下:

   if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {
     header ( 'WWW-Authenticate: Basic realm="My Realm"' );
     header ( 'HTTP/1.0 401 Unauthorized' );
    echo 'Text to send if user hits Cancel button' ;
    exit;
} else {
    echo "

Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .

" ;
echo "

You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.

" ;
}
?>

例子 34-2. Digest HTTP 认证范例

本例演示怎样实现一个简单的 Digest HTTP 认证脚本,更多信息请参考 RFC 2617.

复制代码代码如下:

$realm = 'Restricted area' ;
//user => password
$users = array( 'admin' => 'mypass' , 'guest' => 'guest' );

if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {
     header ( 'HTTP/1.1 401 Unauthorized' );
     header ( 'WWW-Authenticate: Digest realm="' . $realm .
            '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' );
    die( 'Text to send if user hits Cancel button' );
}
// analize the PHP_AUTH_DIGEST variable
preg_match ( '/username="(?P.*)",s*realm="(?P.*)",s*nonce="(?P.*)",s*uri="(?P.*)",s*response="(?P.*)",s*opaque="(?P.*)",s*qop=(?P.*),s*nc=(?P.*),s*cnonce="(?P.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest );
if (!isset( $users [ $digest [ 'username' ]]))
    die( 'Username not valid!' );

// generate the valid response
$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]);
$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);
$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 );
if ( $digest [ 'response' ] != $valid_response )
    die( 'Wrong Credentials!' );
// ok, valid username & password
echo 'Your are logged in as: ' . $digest [ 'username' ];
?>

兼容性问题:在编写 HTTP 标头代码时请格外小心,为了对所有的客户端保证兼容性,关键字“Basic”的第一个字母必须大写为“B”,分界字符串必须用双引号（不是单引号）引用；并且在标头行 HTTP/1.0 401 中,在 401 前必须有且仅有一个空格.

在以上例子中,仅仅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在实际运用中,可能需要对用户名和密码的合法性进行检查,或许进行数据库教程的查询,或许从 dbm 文件中检索.

注意有些 Internet Explorer 浏览器本身有问题。它对标头的顺序显得似乎有点吹毛求疵。目前看来在发送 HTTP/1.0 401 之前先发送 WWW-Authenticate 标头似乎可以解决此问题。

自 PHP 4.3.0 起,为了防止有人通过编写脚本来从用传统外部机制认证的页面上获取密码,当外部认证对特定页面有效,并且安全模式被开启时,PHP_AUTH 变量将不会被设置,但无论如何, REMOTE_USER 可以被用来辨认外部认证的用户,因此可以用 $_SERVER['REMOTE_USER'] 变量.

配置说明:PHP 用是否有 AuthType 指令来判断外部认证机制是否有效。

注意,这仍然不能防止有人通过未认证的 URL 来从同一服务器上认证的 URL 上偷取密码.

Netscape Navigator 和 Internet Explorer 浏览器都会在收到 401 的服务端返回信息时清空所有的本地浏览器整个域的 Windows 认证缓存,这能够有效的注销一个用户,并迫使他们重新输入他们的用户名和密码,有些人用这种方法来使登录状态“过期”,或者作为“注销”按钮的响应行为.

例子 34-3.强迫重新输入用户名和密码的 HTTP 认证的范例

复制代码代码如下:

   function authenticate () {
     header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' );
     header ( 'HTTP/1.0 401 Unauthorized' );
    echo "You must enter a valid login ID and password to access this resourcen" ;
    exit;
}
if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) ||
      ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {
    authenticate ();
}
else {
   echo "

Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]}
" ;
echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;
echo "

n" ;
}
?>

该行为对于 HTTP 的 Basic 认证标准来说并不是必须的,因此不能依靠这种方法,对 Lynx 浏览器的测试表明 Lynx 在收到 401 的服务端返回信息时不会清空认证文件,因此只要对认证文件的检查要求没有变化,只要用户点击“后退”按钮,再点击“前进”按钮,其原有资源仍然能够被访问,不过,用户可以通过按“_”键来清空他们的认证信息.

在下例中,我们是使用$PHP_AUTH_USER和$PHP_AUTH_PW这两个变量来验证进入者是否合法并允许进入。在本例中被允许登录的用户名称和密码对分别为tnc和nature:

复制代码代码如下:

if(!isset($PHP_AUTH_USER))
{
Header("WWW-Authenticate: Basic realm="My Realm"");
Header("HTTP/1.0 401 Unauthorized");
echo "Text to send if user hits Cancel buttonn";
exit;
}
else
{
if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") )
{
// 如果是错误的用户名称/密码对，强制再验证
Header("WWW-Authenticate: Basic realm="My Realm"");
Header("HTTP/1.0 401 Unauthorized");
echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid.";
exit;
}
else
{
echo "Welcome tnc!";
}
?>

事实上再实际引用中不大可能如上面使用代码段明显的用户名称/密码对,而是利用数据库或者加密的密码文件存取它们.

根据指定的验证信息核实用户身份：

首先，我们可以使用以下代码确定用户是否已经输入了用户名和密码,并显示出用户输入的信息.

复制代码代码如下:

if (!isset($PHP_AUTH_USER)) {
header('WWW-Authenticate: Basic realm="My Private Stuff"');
header('HTTP/1.0 401 Unauthorized');
echo 'Authorization Required.';
exit;
}
else {
echo "

You have entered this username: $PHP_AUTH_USER

You have entered this password: $PHP_AUTH_PW

The authorization type is: $PHP_AUTH_TYPE

";
}
?>

说明:

isset()函数用于确定某个变量是否已被赋值,根据变量值是否存在,返回true或false.

header()函数用于发送特定的HTTP标头,注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数.

虽然上述代码相当简单,没有根据任何实际值对用户输入的用户名和密码进行有效验证,但是至少我们了解了如何使用PHP在客户端产生输入对话框.

下面,我们就来了解一下如何根据指定的验证信息核实用户身份,代码如下:

复制代码代码如下:

if (!isset($PHP_AUTH_USER)) {
header('WWW-Authenticate: Basic realm="My Private Stuff"');
header('HTTP/1.0 401 Unauthorized');
echo 'Authorization Required.';
exit;
}
else if (isset($PHP_AUTH_USER)) {
if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) {
header('WWW-Authenticate: Basic realm="My Private Stuff"');
header('HTTP/1.0 401 Unauthorized');
echo 'Authorization Required.';
exit;
} else {
echo "

You're authorized!

";
}
}
?>

在这里,我们首先检查用户是否已经输入了用户名称和密码,如果没有则弹出相应对话框要求用户输入身份信息,随后,我们通过判断用户输入的信息是否符合admin/123这一指定用户帐号来授予用户访问权限或提示用户再次输入正确的信息,这种方法适用于所有用户都使用同一登录帐号的网站.

另一种简易的密码验证

如果你是在windows98下面编写和运行着你的PHP脚本,或者是你在Linux下面按默认设置,将PHP安装成一个CGI程序的话,你将无法使用上面的PHP程序来实现验证功能,为此,无边给大家提供了另外一种简易的密码验证的方法,虽然实用性不大,但是拿来学习还是挺好的.

复制代码代码如下:

if($_POST[Submit]=="提交"){ //如果用户提交了数据，则执行操作
$password=$_POST[password];　　　　//获取用户输入的数据，并保存在变量 password 中
$cpassword=$_POST[cpassword];   //获取用户输入的确认数据，保存在变量 $cpassord 中
if(emptyempty($password) || emptyempty($cpassword))
{
    die("密码不可空!");
}
elseif ( ((strlen($password) 15)))
{
    die("密码长度在5和15之间");
}
   //--- 值比较
elseif ( !(strlen($password) == strlen($cpassword)) )
{
    die("两次输入密码不匹配! ");
}
elseif( !($password === $cpassword)) //值和数据类型比较
{
　 die("两次密码不匹配! ");
}
else //循环输出密码，因为是密码所以输出*号
{
    for ($i=0;$i       {
            echo "*";
      }
}
}
?>

琛ㄥ

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP和Python：解释了不同的范例Apr 18, 2025 am 12:26 AM

PHP主要是过程式编程，但也支持面向对象编程（OOP）；Python支持多种范式，包括OOP、函数式和过程式编程。PHP适合web开发，Python适用于多种应用，如数据分析和机器学习。

PHP和Python：深入了解他们的历史Apr 18, 2025 am 12:25 AM

PHP起源于1994年，由RasmusLerdorf开发，最初用于跟踪网站访问者，逐渐演变为服务器端脚本语言，广泛应用于网页开发。Python由GuidovanRossum于1980年代末开发，1991年首次发布，强调代码可读性和简洁性，适用于科学计算、数据分析等领域。

在PHP和Python之间进行选择：指南Apr 18, 2025 am 12:24 AM

PHP适合网页开发和快速原型开发，Python适用于数据科学和机器学习。1.PHP用于动态网页开发，语法简单，适合快速开发。2.Python语法简洁，适用于多领域，库生态系统强大。

PHP和框架：现代化语言Apr 18, 2025 am 12:14 AM

PHP在现代化进程中仍然重要，因为它支持大量网站和应用，并通过框架适应开发需求。1.PHP7提升了性能并引入了新功能。2.现代框架如Laravel、Symfony和CodeIgniter简化开发，提高代码质量。3.性能优化和最佳实践进一步提升应用效率。

PHP的影响：网络开发及以后Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP类型提示如何起作用，包括标量类型，返回类型，联合类型和无效类型？Apr 17, 2025 am 12:25 AM

PHP类型提示提升代码质量和可读性。1)标量类型提示：自PHP7.0起，允许在函数参数中指定基本数据类型，如int、float等。2)返回类型提示：确保函数返回值类型的一致性。3)联合类型提示：自PHP8.0起，允许在函数参数或返回值中指定多个类型。4)可空类型提示：允许包含null值，处理可能返回空值的函数。