防止恶意注册和暴力破解

最新推荐文章于 2021-04-09 15:53:54 发布
最新推荐文章于 2021-04-09 15:53:54 发布
阅读量625 收藏
点赞数
分类专栏: PHP 安全性 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hudeyong926/article/details/99540508
版权

1验证码
2token令牌。(同理随机input的name )

<?php
session_start();

if ($_POST["submit"] == "go") {
    //check token
    if ($_POST["token"] == $_SESSION["token"]) {
        //continue processing….
    } else {
        //stop all processing! remote form posting attempt!
    }
}
$token = md5(uniqid(rand(), true));
$_SESSION["token"] = $token;
?>
<form action="" method="post">
    <p><label for="name">Name</label>
        <input type="text" name="name" id="name" size="20″ maxlength="40″/></p>
        <input type="hidden" name="token" value="<?php echo $token; ?>"/>
    <p><input type="submit" name="submit" value="go"/></p>
</form>

3. 提交前客户端加密后台解密(如加密2中的token)http://hudeyong926.iteye.com/blog/1594892

 

4 IP及IP段进行访问限制

<?php
$oblock_ip = new block_ip();
$boolean = $oblock_ip->checkip();
class block_ip {
	var $block_ip = array("192.168.1.1","210.10.2.1-20","222.34.4.*");

	function __construct(){
	}

	function __destruct(){
	}

	private function makepregip($str){
		if (strstr($str,"-")) {
			$aip = explode(".",$str);
			foreach ($aip as $k=>$v) {
				if (!strstr($v,"-")) {
					$preg_limit .= makepregip($v);
				}       else{
					$aipnum = explode("-",$v);
					for($i=$aipnum[0];$i<=$aipnum[1];$i++){
						$preg .=$preg?"|".$i:"[".$i;
					}
					$preg_limit .=strrpos($preg_limit,".",1)==(strlen($preg_limit)-1)?$preg."]":".".$preg."]";
				}
			}
		}else{
			$preg_limit .= $str.".";
		}
		return $preg_limit;
	}

	private function getallblockip(){
		if ($this->block_ip) {
			foreach ($this->block_ip as $k=>$v) {
				$ipaddres = $this->makepregip($v->start_ip);
				$ip = str_ireplace(".","\.",$ipaddres);
				$ip  = str_replace("*","[0-9]{1,3}",$ip);
				$ipaddres  = "/".$ip."/";
				$ip_list[] = $ipaddres;
			}
		}
		return $ip_list;
	}

	public function checkip() {
		$iptable = $this->getallblockip();
		$isjoined = true;
		//取得用户ip
		$ip = $this->get_client_ip();
		$ip = trim($ip);
		//剔除黑名单中的ip区段
		if ($iptable) {
			foreach($iptable as $value) {
				if (preg_match("{$value}",$ip)) {
					$isjoined = false;
					break;
				}
			}
		}
		//如果在ip黑名单中就执行如下操作
		if( !$isjoined ){
			echo "ip error";
			exit;
		}
	}

	private function get_client_ip(){
		if (getenv("http_client_ip") && strcasecmp(getenv("http_client_ip"), "unknown"))
			$ip = getenv("http_client_ip");
		else if (getenv("http_x_forwarded_for") && strcasecmp(getenv("http_x_forwarded_for"), "unknown"))
			$ip = getenv("http_x_forwarded_for");
		else if (getenv("remote_addr") && strcasecmp(getenv("remote_addr"), "unknown"))
			$ip = getenv("remote_addr");
		else if (isset($_server['remote_addr']) && $_server['remote_addr'] && strcasecmp($_server['remote_addr'], "unknown"))
			$ip = $_server['remote_addr'];
		else
			$ip = "unknown";
		return($ip);
	}

}
?>
@航空母舰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何使用PHP对网站验证码进行破解
12-19
验证码的功能一般是防止使用程序恶意注册暴力破解或批量发帖而设置的。所谓验证码,就是将一串随机产生的数字或符号,生成一幅图片,图片里加上一些干扰象素(防止OCR),由用户肉眼识别其中的验证码信息,输入...
Laravel笔记-自定义登录中新增登录5次失败锁账户功能(提高系统安全性)
IT1995的博客
07-06 788
这里用的登录就是阅读老外自定义登录和注册功能,用的是Laravel8,如果直接用这种上线,不太安全。如果被暴力破解,不断尝试就麻烦了,现在脚本小子太多了,门槛也低,普通人简单学习几天就能上手去恶心别人。这里我自己写了一个思路,不知道和php主流的是不是一样的。反正我写SpringBoot项目就是用的这种思路。首先建一个users_lock表其中这个users_email和users表对应,这里没有外键关系,相当于独立的,这里设计得不是很好,但感觉小站点用足够了。对应的SQL是这样的: 注册时把这个表填
laravel_admin后台管理,限制登录错误次数
aawuwuwuxx的博客
04-09 648
修改文件vendor/encore/laravel-admin/src/Controllers/AuthController.php 1、引入ThrottlesLogins use Illuminate\Foundation\Auth\ThrottlesLogins; class AuthController extends Controller { /** * @var string */ protected $loginView = 'admin::log
php 登陆次数限制,laravel5.8实现登录次数限制
weixin_28935433的博客
03-11 257
在LogininController中引入LoginController类namespace App\Http\Controllers\Admin;use Illuminate\Foundation\Auth\ThrottlesLogins;use Illuminate\Http\Request;use App\Http\Controllers\Controller;use Illuminate\...
生成和使用验证码C#实现帮助类
最新发布
01-19
- 用户注册过程:要求用户在注册新账户时输入验证码,以防止恶意批量注册和滥用。 - 登录过程:在用户登录时,要求用户输入验证码,以增加账户的安全性。 - 密码重置:要求用户在重置密码前进行验证码验证,以确保...
验证码的编写和运用C#
12-29
作用:可以防止恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码是现在很多网站通行的方式,我们利用比较简易的方式实现了这个功能
ASP.NET程序设计:图形验证码的实现.ppt
05-15
验证码技术可以有效防止某些特定注册用户采用恶意程序和暴力破解方式对网站进行不断的登录尝试。 本任务通过GDI+类提供的图形图像编程方法,实现字母和数字混合的图形验证码的绘制与验证。 5.3 Random类 Random类是...
快速教你springboot如何使用图形验证码的两种方式
09-21
防止恶意攻击:验证码是一种常用的安全措施,它可以有效地防止恶意攻击,如暴力破解恶意注册恶意登录等。通过要求用户输入验证码,可以降低被机器人或恶意程序攻击的风险,因此验证码验证也是人机验证的方式之一...
php暴力破解 post提交
12-03
简单的基于http。post提交的暴力破解脚本,可破解常见的用户登陆
可以防暴力破解網頁密碼的程式(PHP
wuliao_00的专栏
06-25 1953
<? //############################################## // 防暴力攻擊網頁密碼的程式 created by wilson Date :2002/11/16 //mail : wilson@powen.adsldns.org //##############################################
PHP使用md5超级加密方法(加密钥盐+二次md5),防止暴力破解
美奇软件开发工作室
07-06 719
直接上代码,看不懂的可以问我,谢谢: <?php //密码 $input="123456"; //盐 $salt="xiao7"; $password=md5 (md5($input).$salt); echo $password; //输出结果:baf62aa08122b5214682fa3d72ac4eb4 ?>
【Web安全】Session防爆破的实现
余轩轩轩轩啊的博客
01-29 1122
前置内容:什么是Session爆破 (请参考 http://www.cnblogs.com/phpstudy2015-6/p/6776919.html ) session爆破的基本流程如下图所示: 本文将解决攻击者在第3步中使用暴力破解的方式获取合法的session: 实现思路: 攻击者通过携带不同的session向服务端发送请求以达到获取合法回话。因此可以为服务器端增加一个过滤器来判断某...
php _findfirst,windows的文件系统机制引发的PHP路径爆破问题分析
weixin_39539733的博客
03-10 121
1.开场白for ($i=0; $i<255; $i++) {$url = '1.ph' . chr($i);$tmp = @file_get_contents($url);if (!empty($tmp)) echo chr($i) . "\r\n";}?>已知1.php存在,以上脚本访问的结果是:1.php1.phP1.ph<1.ph>都能得到返回。前两种能返回结果是总...
网页登录之防字典爆破奇巧淫技
IMrekcah的博客
07-27 1217
一般来说,使用工具进行字典爆破进行登录时,通常根据服务器返回的响应报文的长度是否发生变化来得出哪一个为正确的账户口令。但是如果登录页面的名称的字数,和登录成功后首页的名称的字数是一样的,且服务器均响应为302错误。此时,只有通过响应报文的重定向行指向的网页的名称来判断是否成功登录。如果不细心一点,很可能错过得到正确账户口令的机会。 例如:响应报文只有Location行有差别。如: 登录
PHP+MySQL+JavaScript实现注册登录(防黑客爆破)
Coisini的博客
06-03 1334
注册界面html前端 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> </head> <body> 注册界面 <form action="./login.php" method="pos...
Django框架下如何实现非法登录次数限制的功能?
mr~li的博客
06-28 1927
基于Django框架下的用户登录页面,如果想实现非法登录次数限制的功能(比如说,用户在5分钟内连续输错10次密码,则该用户在24小时内无法登录),有哪些思路? 思路一: 用户登录失败,将登录失败次数记录到cache中:比如redis 在5分钟内连续登录失败3次,为了防止暴力破解用户密码行为,此时可在登录页面提供验证码输入框 验证码输入失败,不需要验证账号密码是否正...
网页设计注册页面和登陆页面
05-10
注册页面: 1. 首先需要一个表单,包括以下信息:用户名、密码、确认密码、电子邮箱、手机号码等等。 2. 每个表单项需要一个标签和输入框,输入框的样式可以根据设计需求进行自定义。 3. 需要一个提交按钮,用户输入完信息后可以点击提交按钮进行注册。 4. 为了防止恶意注册,可以添加验证码等验证机制。 5. 注册成功后,可以跳转到登录页面。 登录页面: 1. 需要一个表单,包括用户名和密码两个输入框。 2. 也需要一个提交按钮,用户输入完信息后可以点击提交按钮进行登录。 3. 为了防止暴力破解,可以添加登录次数限制或者验证码等验证机制。 4. 登录成功后,可以跳转到用户的个人中心或其他相关页面。 在设计注册和登录页面时,需要考虑用户体验和安全性。同时也需要根据具体需求进行自定义设计,比如添加背景图片、调整字体大小和颜色等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值