php登录失败的处理方法:首先创建一个表负责记录用户登录的信息;然后从user_login_info表查询最近30分钟内有没有相关密码错误的记录;接着统计记录总条数是否达到设定的错误次数;最后设置登录密码错误次数限制即可。
本文操作环境:windows7系统、PHP7.1版,DELL G3电脑
PHP实现登录失败次数限制
登录密码错误次数限制
安全对每个网站的重要性,不言自明。 其中,登陆又是网站中比较容易受到攻击的一个地方,那么我们如何对登陆功能的安全性加强呢?
我们先来看一些知名的网站是如何做的
Github
Github网站同一个账号在同一个IP地址连续密码输错一定次数后,这个账号是会被锁定30分钟的。
Github这么做的主要原因,我觉得主要基于以下考虑:
防止用户的账号密码被暴力破解
实现思路
既然这么多网站的登陆功能都这么个功能,那么具体如何实现的。下面,就具体说说。
思路
需要一个表(user_login_info)负责记录用户登录的信息,不管登录成功还是失败都记录。并且登陆失败还是成功需要能够区分开来。
每次登陆时,都先从user_login_info表查询最近30分钟内(这里假设密码错误次数达到5次后,禁用用户30分钟)有没有相关密码错误的记录,然后统计一下记录总条数是否达到设定的错误次数。
如果在相同IP下,同一个用户,在30分钟内密码错误次数达到设定的错误次数,就不让用户登录了。
【推荐:PHP视频教程】
具体代码与及表设计
表设计
user_login_info表
CREATE TABLE `user_login_info` (
`id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT NOT NULL,
`uid` int(10) UNSIGNED NOT NULL,
`ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP',
`logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
COMMENT '用户登陆时间',
`pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态'
COMMENT '0 正确 2错误'
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user表(用户表)
CREATE TABLE `user` (
`id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
`name` varchar(100) NOT NULL COMMENT '用户名',
`email` varchar(100) NOT NULL,
`pass` varchar(255) NOT NULL,
`status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用',
PRIMARY key(id)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
核心代码
<?php
class Login
{
protected $pdo;
public function __construct()
{
//链接数据库
$this->connectDB();
}
protected function connectDB()
{
$dsn = "mysql:host=localhost;dbname=demo;charset=utf8";
$this->pdo = new PDO($dsn, 'root', 'root');
}
//显示登录页
public function loginPage()
{
include_once('./html/login.html');
}
//接受用户数据做登录
public function handlerLogin()
{
$email = $_POST['email'];
$pass = $_POST['pass'];
//根据用户提交数据查询用户信息
$sql = "select id,name,pass,reg_time from user where email = ?";
$stmt = $this->pdo->prepare($sql);
$stmt->execute([$email]);
$userData = $stmt->fetch(\PDO::FETCH_ASSOC);
//没有对应邮箱
if ( empty($userData) ) {
echo '登录失败1';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
//检查用户最近30分钟密码错误次数
$res = $this->checkPassWrongTime($userData['id']);
//错误次数超过限制次数
if ( $res === false ) {
echo '你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
//判断密码是否正确
$isRightPass = password_verify($pass, $userData['pass']);
//登录成功
if ( $isRightPass ) {
echo '登录成功';
exit;
} else {
//记录密码错误次数
$this->recordPassWrongTime($userData['id']);
echo '登录失败2';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
}
//记录密码输出信息
protected function recordPassWrongTime($uid)
{
//ip2long()函数可以将IP地址转换成数字
$ip = ip2long( $_SERVER['REMOTE_ADDR'] );
$time = date('Y-m-d H:i:s');
$sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)";
$stmt = $this->pdo->prepare($sql);
$stmt->execute();
}
/**
* 检查用户最近$min分钟密码错误次数
* $uid 用户ID
* $min 锁定时间
* $wTIme 错误次数
* @return 错误次数超过返回false,其他返回错误次数,提示用户
*/
protected function checkPassWrongTime($uid, $min=30, $wTime=3)
{
if ( empty($uid) ) {
throw new \Exception("第一个参数不能为空");
}
$time = time();
$prevTime = time() - $min*60;
//用户所在登录ip
$ip = ip2long( $_SERVER['REMOTE_ADDR'] );
//pass_wrong_time_status代表用户输出了密码
$sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";
$stmt = $this->pdo->prepare($sql);
$stmt->execute();
$data = $stmt->fetchAll(\PDO::FETCH_ASSOC);
//统计错误次数
$wrongTime = count($data);
//判断错误次数是否超过限制次数
if ( $wrongTime > $wTime ) {
return false;
}
return $wrongTime;
}
public function __call($methodName, $params)
{
echo '访问的页面不存在','<a href="./login.php">返回登录页</a>';
}
}
$a = @$_GET['a']?$_GET['a']:'loginPage';
$login = new Login();
$login->$a();以上是php登录失败怎么处理的详细内容。更多信息请关注PHP中文网其他相关文章!
酸与基本数据库:差异和何时使用。Mar 26, 2025 pm 04:19 PM本文比较了酸和基本数据库模型,详细介绍了它们的特征和适当的用例。酸优先确定数据完整性和一致性,适合财务和电子商务应用程序,而基础则侧重于可用性和
PHP安全文件上传:防止与文件相关的漏洞。Mar 26, 2025 pm 04:18 PM本文讨论了确保PHP文件上传的确保,以防止诸如代码注入之类的漏洞。它专注于文件类型验证,安全存储和错误处理以增强应用程序安全性。
PHP API率限制:实施策略。Mar 26, 2025 pm 04:16 PM本文讨论了在PHP中实施API速率限制的策略,包括诸如令牌桶和漏水桶等算法,以及使用Symfony/Rate-limimiter之类的库。它还涵盖监视,动态调整速率限制和手
php密码哈希:password_hash和password_verify。Mar 26, 2025 pm 04:15 PM本文讨论了使用password_hash和pyspasswify在PHP中使用密码的好处。主要论点是,这些功能通过自动盐,强大的哈希算法和SECH来增强密码保护
OWASP前10 php:描述并减轻常见漏洞。Mar 26, 2025 pm 04:13 PM本文讨论了OWASP在PHP和缓解策略中的十大漏洞。关键问题包括注射,验证损坏和XSS,并提供用于监视和保护PHP应用程序的推荐工具。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
DVWA
Damn Vulnerable Web App (DVWA) 是一个PHP/MySQL的Web应用程序,非常容易受到攻击。它的主要目标是成为安全专业人员在合法环境中测试自己的技能和工具的辅助工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助教师/学生在课堂环境中教授/学习Web应用程序安全。DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,难度各不相同。请注意,该软件中
适用于 Eclipse 的 SAP NetWeaver 服务器适配器
将Eclipse与SAP NetWeaver应用服务器集成。
EditPlus 中文破解版
体积小,语法高亮,不支持代码提示功能
Dreamweaver Mac版
视觉化网页开发工具
禅工作室 13.0.1
功能强大的PHP集成开发环境
