登录失败次数限制(原生php代码实现)
来源:互联网 发布:触摸屏一体机软件 编辑:程序博客网 时间:2024/06/07 12:48
本文章转自https://www.3maio.com/w-detail/10
登录密码错误次数限制
安全对每个网站的重要性,不言自明。
其中,登陆又是网站中比较容易受到攻击的一个地方,那么我们如何对登陆功能的安全性加强呢?
我们先来看一些知名的网站是如何做的
Github
Github网站同一个账号在同一个IP地址连续密码输错一定次数后,这个账号是会被锁定30分钟的。如下图所示:
Github这么做的主要原因,我觉得主要基于以下考虑:
- 防止用户的账号密码被暴力破解
- Sina
sina网站登陆功能其实也有类似的考虑,如下图:
实现思路
既然这么多网站的登陆功能都这么个功能,那么具体如何实现的。下面,就具体说说。
思路
需要一个表(
user_login_info
)负责记录用户登录的信息,不管登录成功还是失败都记录。并且登陆失败还是成功需要能够区分开来。每次登陆时,都先从
user_login_info表
查询最近30分钟内(这里假设密码错误次数达到5次后,禁用用户30分钟)有没有相关密码错误的记录,然后统计一下记录总条数是否达到设定的错误次数。
- 如果在相同IP下,同一个用户,在30分钟内密码错误次数达到设定的错误次数,就不让用户登录了。
具体代码与及表设计
- 表设计
user_login_info表
CREATE TABLE `user_login_info` ( `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT NOT NULL, `uid` int(10) UNSIGNED NOT NULL, `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP', `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '用户登陆时间', `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态' COMMENT '0 正确 2错误' ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
user表(用户表)
CREATE TABLE `user` ( `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT, `name` varchar(100) NOT NULL COMMENT '用户名', `email` varchar(100) NOT NULL, `pass` varchar(255) NOT NULL, `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用', PRIMARY key(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
- 核心代码
<?phpclass Login{ protected $pdo; public function __construct() { //链接数据库 $this->connectDB(); } protected function connectDB() { $dsn = "mysql:host=localhost;dbname=demo;charset=utf8"; $this->pdo = new PDO($dsn, 'root', 'root'); } //显示登录页 public function loginPage() { include_once('./html/login.html'); } //接受用户数据做登录 public function handlerLogin() { $email = $_POST['email']; $pass = $_POST['pass']; //根据用户提交数据查询用户信息 $sql = "select id,name,pass,reg_time from blog_admin where email = ?"; $stmt = $this->pdo->prepare($sql); $stmt->execute([$email]); $userData = $stmt->fetch(\PDO::FETCH_ASSOC); //没有对应邮箱 if ( empty($userData) ) { echo '登录失败1'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } //检查用户最近30分钟密码错误次数 $res = $this->checkPassWrongTime($userData['id']); //错误次数超过限制次数 if ( $res === false ) { echo '你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } //判断密码是否正确 $isRightPass = password_verify($pass, $userData['pass']); //登录成功 if ( $isRightPass ) { echo '登录成功'; exit; } else { //记录密码错误次数 $this->recordPassWrongTime($userData['id']); echo '登录失败2'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } } //记录密码输出信息 protected function recordPassWrongTime($uid) { //ip2long()函数可以将IP地址转换成数字 $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); $time = date('Y-m-d H:i:s'); $sql = "insert into blog_admin_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); } /** * 检查用户最近$min分钟密码错误次数 * $uid 用户ID * $min 锁定时间 * $wTIme 错误次数 * @return 错误次数超过返回false,其他返回错误次数,提示用户 */ protected function checkPassWrongTime($uid, $min=30, $wTime=3) { if ( empty($uid) ) { throw new \Exception("第一个参数不能为空"); } $time = time(); $prevTime = time() - $min*60; //用户所在登录ip $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); //pass_wrong_time_status代表用户输出了密码 $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); $data = $stmt->fetchAll(\PDO::FETCH_ASSOC); //统计错误次数 $wrongTime = count($data); //判断错误次数是否超过限制次数 if ( $wrongTime > $wTime ) { return false; } return $wrongTime; } public function __call($methodName, $params) { echo '访问的页面不存在','<a href="./login.php">返回登录页</a>'; }}$a = @$_GET['a']?$_GET['a']:'loginPage';$login = new Login();$login->$a();
阅读全文
0 0
- 登录失败次数限制(原生php代码实现)
- 登录失败次数限制(原生php代码实现)
- 登录失败次数限制(原生php代码实现)
- PHP实现登录失败次数限制
- spring security实现限制登录次数功能
- Linux如何通过PAM限制用户登录失败次数
- PHP实现通过IP限制投票次数
- linux登录次数限制
- 登录次数限制
- 使用python实现openvpn的登录次数限制
- 【C#】登录次数限制实例
- Shiro限制登录尝试次数
- SpringBoot+Shiro学习之密码加密和登录失败次数限制
- php限制手机号码发送次数
- PHP限制IP及提交次数限制
- Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
- Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
- 拦截器限制用户访问次数和验证用户登录代码
- Listener监听器以及小案例
- python-scrapy 实现对豆瓣电影的爬取
- 《看透springMvc源代码分析与实践》笔记1网站架构演变
- c++ 流传输
- UVA12661FunnyCarRacing
- 登录失败次数限制(原生php代码实现)
- bootStrap异步加载数据(动态加载数据)一二级菜单点击失效的解决办法
- Mysql导入\导出数据
- 关于计算机网络的常见面试问题
- [日推荐]『小幸运商店』解忧杂货铺,专治不开心
- 从一道网易面试题浅谈OC线程安全
- 1568:兔子繁衍问题
- 边界值分析法设计测试用例
- selenium之unittest的简单用法(一)