角色权限管理系统(登录模块)

最新推荐文章于 2024-02-21 16:00:00 发布
最新推荐文章于 2024-02-21 16:00:00 发布
阅读量8.6k 收藏 11
点赞数 2
分类专栏: mvc设计模式 PHP 文章标签: smarty sql注入 web开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/walkcode/article/details/14398979
版权

学了几个月的php终于有时间来做一个小项目了,做这个小项目之前也考虑了多方面的因素。最后决定做这个角色权限管理系统,一方面练练手一方面复习下web开发的相关知识。本来想弄成专栏的但是后来一想反正就是知识分享就写成普通博客了,为了把东西写的细致我把系统拆分成了一个个的模块。今天分享的是系统的门面---登录/注销模块

开发这个小系统我使用的php版本是5.4,mysql是5.0,开发工具为zend studio

1.登录,这个功能可大可小但是要注意注入sql注入以及一些细节问题

下面开始接触我设计的第一个表,这个表用来存储用户信息,表结构如下

这个表应该是比较简单的一个,正规的开发要注意使用MD5加密密码


2.准备登录界面,我这里就用了最简单的那种,代码如下


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<script type="text/javascript" src="../../js/jquery.js"></script>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>管理平台</title>
</head>
<script type="text/javascript">
function changeYzm(img){
	img.src="../../captcha.php?date="+new Date();
}
function submitCheck(){
	var username=$("#username").val();
	var password=$("#password").val();
	var yzm=$("#yzm").val();
	
	if(""==username){
		alert("用户名不能为空");
		return false;
	}
	if(""==password){
		alert("密码不能为空");
		return false;
	}
	if(""==yzm){
		alert("验证码不能为空");
		return false;
	}
	
}
</script>
<body>
<center>
<form action="LoginController.php" method="post"  οnsubmit="return submitCheck()">
 <table width="280" cellspacing="0" cellpadding="0" style="margin-top:200px;font-size:14px;background-color:FEB930;" border="0" >
   <tr >
     <td height=45 align="right">用户名:</td>
     <td><input type="text" name="username" id="username"/></td>
   </tr>
   <tr>
      <td height=45 align="right">密码:</td>
     <td><input type="password" name="password" id="password"/></td>
   </tr>
   <tr>
      <td height=45 align="right">验证码:</td>
      <td><input type="text" name="yzm" id="yzm"/></td>
      <td><img src="../../captcha.php" id="img" οnclick="changeYzm(this)"/></td>
   </tr>
   <tr>
      <td height=45 align="right"><input type="submit" value="登录" /></td>
      <td><input type="reset" value="取消"/><input type="hidden" name="method" value="toLogin"/></td>
   </tr>
   <tr>
      <td height=45 align="right"></td>
      <td><font color=red><{$error}></font></td>
   </tr>
 </table>
 </form>
 </center>
</body>
</html>

界面是这个样子

界面虽然简单,要注意不要忘记验证码,这样子可以防止机器人登录还可以减少服务器压力,验证码其实就是一个php页面,我的这个很简单代码如下

<?php
//checkNum.php
session_start();
function random($len)
{
$srcstr="ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
mt_srand();//配置乱数种子
$strs="";
for($i=0;$i <$len;$i++){
$strs.=$srcstr[mt_rand(0,35)];
}

return strtoupper($strs);
}
$str=random(4); //随机生成的字符串" title="字符串" >字符串
$width = 50; //验证码图片的宽度
$height = 20; //验证码图片的高度

@header("Content-Type:image/png");
$_SESSION["code"] = $str;
//echo $str;
$im=imagecreate($width,$height);
//背景色
$back=imagecolorallocate($im,0xFF,0xFF,0xFF);
//模糊点颜色
$pix=imagecolorallocate($im,187,230,247);
//字体色
$font=imagecolorallocate($im,41,163,238);
//绘模糊作用的点
mt_srand();
for($i=0;$i <1000;$i++)
{
imagesetpixel($im,mt_rand(0,$width),mt_rand(0,$height),$pix);
}
imagestring($im, 5, 7, 5,$str, $font);
imagerectangle($im,0,0,$width-1,$height-1,$font);
imagepng($im);
imagedestroy($im);
$_SESSION["code"] = $str;

?>

点击更换验证码还要注意缓存的问题,可以在请求的时候加上日期,这样就不会出问题了。使用验证码还要打开画图扩展就是extension=php_gd2.dll


3.代码层次结构

这次的小项目还使用到了smarty,mysqli等所以也要打开mysqli扩展,这个就不多说了。这次还是使用mvc设计模式。下面是项目层次图

controller下面放的就是smarty模板以及控制器文件,别的目录容后再说

4.登录模块对应的实现类如下

//登录验证
	public function loginCheck($username,$password){
		$u=new User();
		$db=new DBUtil();
		$conn=$db->getConnection();
		$base=new BaseDBOperate();
		$sql="select count(id) nums from m_user A where A.username='$username' and A.password='$password'";
		$arr=$base->query($sql, $conn);
		$db->close($conn);
		return $arr[0]["nums"];
	}

里面的工具我最后贴出来


5.处理登录的控制器代码片段,这里就要介绍下系统的入口页面index.php了,这个php做得是就是引导程序进入控制器,这个php是下面这个样子

<?php
 header ('Location:module/controller/LoginController.php?method=loginUI' )
?>

控制器代码如下 

<?php

require_once '../controller/libs/Smarty.class.php';
require_once "../impl/UserManagerImpl.class.php";
require_once "../model/User.class.php";
require_once "../impl/RoleManagerImpl.class.php";
header ( 'Content-type: text/html; charset=UTF-8' );
$method = $_REQUEST["method"];
if("toLogin"==$method){
	toLogin();
}
if("loginUI"==$method){
	loginUI();
}
if("logoff"==$method){
	logOff();
}
function toLogin(){
	$yzm=$_POST["yzm"];
	session_start();
	if(strcasecmp($_SESSION["code"], $yzm)==0){
		$username=$_POST["username"];
		$password=$_POST["password"];
		$userManager=new UserManagerImpl();
		$count=$userManager->loginCheck($username, $password);
		if($count>0){
			//查询用户名,角色,姓名,状态并保存在session里
			//header("refresh:5;url=http://www.XX.com");  
			$result=$userManager->getUserMessage($username);
			
			$_SESSION["username"]=$result[0]["username"];
			$_SESSION["role"]=$result[0]["role"];
			$_SESSION["realname"]=$result[0]["realname"];
			$smart = new Smarty ();
			$smart->left_delimiter = "<{";
			$smart->right_delimiter = "}>";
			//指定目标所在目录
			$smart->setTemplateDir("../../manage");
			$smart->display("index.html");
			
		}else{
			$smart = new Smarty ();
			$smart->left_delimiter = "<{";
			$smart->right_delimiter = "}>";
			$smart->assign("error","用户名或密码错误");
			$smart->display("login.html");
		}
	}else{
		$smart = new Smarty ();
		$smart->left_delimiter = "<{";
		$smart->right_delimiter = "}>";
		$smart->assign("error","验证码错误");
		$smart->display("login.html");
	}
}
function loginUI(){
	$smart = new Smarty ();
	$smart->left_delimiter = "<{";
	$smart->right_delimiter = "}>";
	$smart->assign("error","");
	$smart->display("login.html");
}
//注销操作
function logOff(){
	session_start();
	session_destroy();
	$smart = new Smarty ();
	$smart->left_delimiter = "<{";
	$smart->right_delimiter = "}>";
	$smart->assign("error","");
	$smart->display("login.html");
}
?>


登录要处理的最大问题其实就是sql注入,大家看到了吗其实我写的sql语句其实会被sql注入,如果输入的用户名或密码为‘ or 1='1  那么所做的登录就无效了。也有办法解决这个问题那就是mysqli的预处理技术,把上面的loginCheck改为下面这样就行

public function loginCheck($username, $password) {
		$u = new User ();
		$db = new DBUtil ();
		$conn = $db->getConnection ();
		$base = new BaseDBOperate ();
		$sql = "select count(id) nums from m_user A where A.username=? and A.password=?";
		$pstmt = $conn->prepare ( $sql );
		// 绑定参数
		$pstmt->bind_param ( "ss", $username, $password );
		$pstmt->execute ();
		$pstmt->bind_result ( $nums );
		$temp = "";
		while ( $pstmt->fetch () ) {
			$temp = $nums;
		}
		$pstmt->free_result ();
		$pstmt->close ();
		
		$db->close ( $conn );
		return $temp;
	}


这个问题也告诉我们,表面上看起来完美无缺的程序不一定就是安全的.

青蛙小王子
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于角色权限管理系统视频教程
06-02
我们开发业务系统的时候,基本上都会涉及到权限管理模块,要求不同的人看到不同的菜单,操作不同的按钮,看到不同的数据。很多初学者面对这样的需求不知道如何下手,特别是稍微复杂点的权限,更是找不到方向,为此...
Oracle用户,权限角色以及登录管理
荣耀之路
03-13 1万+
1. sys和system用户的区别 system用户只能用normal身份登陆em。除非你对它授予了sysdba的系统权限或者syspoer系统权限。 sys用户具有“SYSDBA”或者“SYSOPER”权限,登陆em也只能用这两个身份,不能用normal。 -- 最重要的区别,存储的数据的重要性不同 sys所有oracle的数据字典的基表和视图都存放在sys用户中,这些基表和视图
SpringSecurity动态加载用户角色权限实现登录及鉴权
字母哥博客
11-27 4114
很多人觉得Spring Security实现登录验证很难,我最开始学习的时候也这样觉得。因为我好久都没看懂我该怎么样将自己写的用于接收用户名密码的Controller与Spring Security结合使用,这是一个先入为主的误区。后来我搞懂了:根本不用你自己去写Controller。你只需要告诉Spring Security用户信息、角色信息、权限信息、登录页是什么?登陆成功页是什么?或者其他...
用户,角色权限三者的关系?让你设计用户权限系统,你会设计几张表?为什么要这样设计?
m0_70325779的博客
02-21 1052
第二种方案要比第一种方案在编码层面更复杂,需要用到5张表,并需要用到多表查询,但是却非常利于系统对各个用户的权限控制,加入角色表我们可以将所有的用户划分为不同的角色,让权限关系更加清晰,当我们需要添加新的用户时,只需要让他与角色表相关联,然后就可以通过角色权限关联表确认当前用户都具有哪些权限,程序的健壮性和可扩展性更强。在有些小的项目中,我们通常会发现关于用户权限的设计非常简单,通常都是设计一个权限表列出各种权限,然后就是用户表,用户表中设计一个权限字段关联权限表的主键,从而达到设计用户权限的目的。
用户角色权限管理系统(数据库设计+源码)
Jun5008的博客
01-05 2544
系统采用了 B/S 体系结构,以 MySql 作为数据库管理数据,以 JSP 作为前端开发语音,采用当前最流行的 SSM 框架(Spring+SpringMVC+MyBatis),标准的 MVC 模式,将整个系统划分为表现层,controller 层,service 层,dao 层四层。
用户权限管理系统
热门推荐
susan的博客
07-19 5万+
该项目主要是完成用户权限系统的开发,该系统分为登陆、用户管理角色管理和菜单管理4个模块。 分别在登陆模块实现了简单的登陆功能;用户管理模块实现了用户的增加、删除、修改、查看信息、用户角色分配等功能;角色管理模块实现了角色的新增、修改和删除,对应角色权限查看,重新给各个角色分配功能等功能;菜单管理模块实现了菜单的增删改功能。 本项目结构上分为表现层、业务层和数据访问层。层次间的依赖关系自下到上。...
RBAC用户角色权限管理
qq_51386003的博客
08-22 4747
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色权限之间,一般者是多对多的关系。可以看出角色表起到了一个承接的作用把权限下发给每一个角色,而用户可以选择角色来间接的获取权限User(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限
权限管理系统设计方案
.
08-14 3553
用户和角色角色权限都是多对多的关系,这种模型是最通用的权限管理模型,节省了很大的权限维护成本, 但是实际的业务千变万化,权限管理的模型也需要根据不同的业务模型适当的调整,比如一个公司内部的组织架构是分层级的,层级越高权限越大,因为层级高的人不仅要拥有自己下属拥有的权限,二期还要有一些额外的权限。这种模型能够满足权限的基本分配能力,但是随着用户数量的增长,这种模型的弊端就凸显出来了,每一个用户都需要去分配权限,非常的浪费管理员的时间和精力,并且用户和权限杂乱的对应关系会给后期带来巨大的维护成本。
ASP.NET MVC通用角色权限管理系统源码-.net
06-26
系统优势:代码可以满足大部分开发者的需求,让开发人员能省不少时间ASP.NET MVC通用角色权限管理系统源码 更新日志:2020-03-23更新如下:1、新增文件上传功能实例,保证文件能够无误上传保存并下载;2、优化后台...
ASP.NET LayUI权限管理系统源码
06-07
每个角色可以控制在多个模块或者混合模块(如XX模块的新增,OO模块的更新) 2、预览地址:http://121.42.8.166:8888 二、功能特点 1、token具有绝对时间性,过期必定失效,而且到一定时间自动更新成新token,过渡...
用户角色权限管理模块
10-18
本工程实现了基础服务中的用户管理角色管理权限管理模块
JeeSpringCloud后台权限管理系统-其他
06-29
JeeSpringCloud是一个基于SpringBoot2.0的后台权限管理系统,界面简洁美观敏捷开发系统架构。核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。 互联网云快速开发框架,微服务分布式代码生成的敏捷开发系统...
.NET 通用后台角色权限管理系统,已完成。.zip
最新发布
04-12
管理系统,作为一种高效的企业运营管理工具,旨在通过集成化、系统化的手段,对组织内部的各类资源进行规划、协调、控制和优化,以实现企业战略目标,提升运营效率,增强核心竞争力。以下是对管理系统的详细介绍: ...
角色权限管理系统角色功能授权)
技术成就梦想
11-10 1万+
角色权限管理系统中最重要的一个模块,其中也讲到一些开发中的常用技巧,相信一定大有用处。
Spring Cloud Alibaba 实战(五)Zuul篇
大鹏
08-13 862
1. Zuul 简介 Zuul 微服务网关是为 Spring Cloud Netflix 提供动态路由,监控,弹性,安全等服务的框架。可以和Eureka、Ribbon、Hystrix 等组件配合使用。 1.1. Zuul 主要功能: 认证和安全: 识别每个需要认证的资源,拒绝不符合要求的请求。 性能监测: 在服务边界追踪并统计数据,提供精确的生产视图。 动态路由: 根据需要将请求动态路由到后端集群。 压力测试: 逐渐增加对集群的流量以了解其性能。 负载卸
后台用户角色权限管理设计
qq_39302908的博客
04-01 8436
目录 1、概述 2、设计 2.1 用户管理 2.2 角色管理 2.3 权限管理 2.4 用户、角色权限的关系 3、总结 1、概述 在设计产品后台系统设置时,可根据不同项目的实际需求来设计后台系统设置的内容,比如用户角色权限系统日志、数据统计,任务进程、数据备份等等很多,其中,用户角色权限管理属于整个后台系统设置必不可少的内容,甚至有些业务复杂的产品会为与其对应的后台系统设置单独设计一款独立运行的产品,不过目的都是为了更好的管理各个业务流程步骤中每一位用户的权限,防止用...
AdminEx后台管理系统模板、用户权限管理设计、按钮级别
weixin_48455733的博客
08-02 4637
本人使用AdminEx模板来设计的用户权限管理系统界面。采用(Spring Boot、Apache Shiro、MyBatis、Thymeleaf)。项目简洁美观、优秀实用、功能强大,可扩展功能多。
SSM——用户、角色权限操作
you4580的专栏
08-15 1197
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。( https://projects.spring.io/spring-security/ ) Spring Security 为基于 J2EE 企业应用软件提供了全面安全服务。特别是使用领先的J2EE 解决方案 -Spring 框架开发的企业软件项目。
rbac权限管理系统模块结构图
05-01
RBAC(Role-Based Access Control,基于角色的访问控制)权限管理系统模块结构图通常包括以下模块: 1. 用户管理模块:用于管理系统中的用户账号信息,包括创建、删除、修改、查询等操作。 2. 角色管理模块:用于管理系统中的角色信息,包括创建、删除、修改、查询等操作。 3. 权限管理模块:用于管理系统中的权限信息,包括创建、删除、修改、查询等操作。 4. 菜单管理模块:用于管理系统中的菜单信息,包括创建、删除、修改、查询等操作。 5. 分配权限模块:用于将权限分配给角色,包括创建、删除、修改、查询等操作。 6. 分配角色模块:用于将角色分配给用户,包括创建、删除、修改、查询等操作。 7. 登录认证模块:用于用户登录认证,通过用户名和密码验证用户身份,登录成功后才能访问系统资源。 8. 访问控制模块:用于控制用户对系统资源的访问权限,判断用户是否有访问该资源的权限,如果没有则拒绝访问。 9. 审计日志模块:用于记录用户的操作行为和系统的运行状态,可以用于安全审计和故障排查等。 以上是一个常见的RBAC权限管理系统模块结构图,不同的系统可能会有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值