溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇“php如何實現登錄失敗次數限制”文章的知識點大部分人都不太理解,所以小編給大家總結了以下內容,內容詳細,步驟清晰,具有一定的借鑒價值,希望大家閱讀完這篇文章能有所收獲,下面我們一起來看看這篇“php如何實現登錄失敗次數限制”文章吧。
php實現登錄失敗次數限制的方法:1、創建一個表用于負責記錄用戶登錄的信息;2、查看密碼錯誤的記錄;3、在相同IP下,同一個用戶在30分鐘內密碼錯誤次數達到設定的錯誤次數,就不讓用戶登錄。
本文操作環境:windows7系統、PHP7.1版、DELL G3電腦
PHP實現登錄失敗次數限制
登錄密碼錯誤次數限制
安全對每個網站的重要性,不言自明。 其中,登陸又是網站中比較容易受到攻擊的一個地方,那么我們如何對登陸功能的安全性加強呢?
我們先來看一些知名的網站是如何做的
Github
Github網站同一個賬號在同一個IP地址連續密碼輸錯一定次數后,這個賬號是會被鎖定30分鐘的。
Github這么做的主要原因,我覺得主要基于以下考慮:
既然這么多網站的登陸功能都這么個功能,那么具體如何實現的。下面,就具體說說。
user_login_info表
CREATE TABLE `user_login_info` ( `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT NOT NULL, `uid` int(10) UNSIGNED NOT NULL, `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用戶登陸IP', `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '用戶登陸時間', `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陸密碼錯誤狀態' COMMENT '0 正確 2錯誤' ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user表(用戶表)
CREATE TABLE `user` ( `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT, `name` varchar(100) NOT NULL COMMENT '用戶名', `email` varchar(100) NOT NULL, `pass` varchar(255) NOT NULL, `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1啟用 2禁用', PRIMARY key(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
<?php
class Login
{
protected $pdo;
public function __construct()
{
//鏈接數據庫
$this->connectDB();
}
protected function connectDB()
{
$dsn = "mysql:host=localhost;dbname=demo;charset=utf8";
$this->pdo = new PDO($dsn, 'root', 'root');
}
//顯示登錄頁
public function loginPage()
{
include_once('./html/login.html');
}
//接受用戶數據做登錄
public function handlerLogin()
{
$email = $_POST['email'];
$pass = $_POST['pass'];
//根據用戶提交數據查詢用戶信息
$sql = "select id,name,pass,reg_time from user where email = ?";
$stmt = $this->pdo->prepare($sql);
$stmt->execute([$email]);
$userData = $stmt->fetch(\PDO::FETCH_ASSOC);
//沒有對應郵箱
if ( empty($userData) ) {
echo '登錄失敗1';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
//檢查用戶最近30分鐘密碼錯誤次數
$res = $this->checkPassWrongTime($userData['id']);
//錯誤次數超過限制次數
if ( $res === false ) {
echo '你剛剛輸錯很多次密碼,為了保證賬戶安全,系統已經將您賬號鎖定30min';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
//判斷密碼是否正確
$isRightPass = password_verify($pass, $userData['pass']);
//登錄成功
if ( $isRightPass ) {
echo '登錄成功';
exit;
} else {
//記錄密碼錯誤次數
$this->recordPassWrongTime($userData['id']);
echo '登錄失敗2';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}
}
//記錄密碼輸出信息
protected function recordPassWrongTime($uid)
{
//ip2long()函數可以將IP地址轉換成數字
$ip = ip2long( $_SERVER['REMOTE_ADDR'] );
$time = date('Y-m-d H:i:s');
$sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)";
$stmt = $this->pdo->prepare($sql);
$stmt->execute();
}
/**
* 檢查用戶最近$min分鐘密碼錯誤次數
* $uid 用戶ID
* $min 鎖定時間
* $wTIme 錯誤次數
* @return 錯誤次數超過返回false,其他返回錯誤次數,提示用戶
*/
protected function checkPassWrongTime($uid, $min=30, $wTime=3)
{
if ( empty($uid) ) {
throw new \Exception("第一個參數不能為空");
}
$time = time();
$prevTime = time() - $min*60;
//用戶所在登錄ip
$ip = ip2long( $_SERVER['REMOTE_ADDR'] );
//pass_wrong_time_status代表用戶輸出了密碼
$sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";
$stmt = $this->pdo->prepare($sql);
$stmt->execute();
$data = $stmt->fetchAll(\PDO::FETCH_ASSOC);
//統計錯誤次數
$wrongTime = count($data);
//判斷錯誤次數是否超過限制次數
if ( $wrongTime > $wTime ) {
return false;
}
return $wrongTime;
}
public function __call($methodName, $params)
{
echo '訪問的頁面不存在','<a href="./login.php">返回登錄頁</a>';
}
}
$a = @$_GET['a']?$_GET['a']:'loginPage';
$login = new Login();
$login->$a();核心代碼
表設計
思路
需要一個表(user_login_info)負責記錄用戶登錄的信息,不管登錄成功還是失敗都記錄。并且登陸失敗還是成功需要能夠區分開來。
每次登陸時,都先從user_login_info表查詢最近30分鐘內(這里假設密碼錯誤次數達到5次后,禁用用戶30分鐘)有沒有相關密碼錯誤的記錄,然后統計一下記錄總條數是否達到設定的錯誤次數。
如果在相同IP下,同一個用戶,在30分鐘內密碼錯誤次數達到設定的錯誤次數,就不讓用戶登錄了。
防止用戶的賬號密碼被暴力破解
以上就是關于“php如何實現登錄失敗次數限制”這篇文章的內容,相信大家都有了一定的了解,希望小編分享的內容對大家有幫助,若想了解更多相關的知識內容,請關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
