防爆破——登陆次数限制

最新推荐文章于 2024-04-10 23:18:26 发布
最新推荐文章于 2024-04-10 23:18:26 发布
阅读量349 收藏
点赞数
文章标签: php 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61974571/article/details/127278417
版权
一、基本思路

(1)需要在数据库中记录某个用户的登陆失败次数

(2)需要在数据库中记录最后一次登陆的时间,用于判断是否接触限制

(3)每一次登陆时,都需要从数据库中取出这两个值,从而进行判断

二、技术准备

1、核心sql语句操作
同时更新两个字段并设置时间为现在:update user set failcount = failcount+1, lasttime=now where id = ?

比较两个时间的差值,单位可以是分或者秒等:select lasttime, now(),TIMESTAMPDIFF(MINUTE,lastimenow()) from user;
2、在php中处理时间
// PHP设置默认时区为中国:
date_default_timeone_set("PRC")
// PHP生成年月日时分秒:
echo date('Y-m-d' H:i:s);
PHP比较两个时间的差值
    $time1
    $time2
echo strtotime($time2)-strtotime($time1)

PHP代码实现

$sql = "SELECT id,username,`password`,failcount ,TIMESTAMPDIFF(MINUTE,lasttime,now()) FROM user where username =?";
// $result = $conn -> query($sql) or die("SQL语句执行失败");
$stmt = $conn->prepare($sql);
$stmt->bind_param('i',$username);  //绑定查询参数
$stmt->bind_result($id,$username2,$password2,$failcount,$timediff);  //绑定结果参数
$stmt->execute();
$stmt->store_result();

if($stmt->num_rows() == 1){
	$row = $stmt->fetch();
	if($failcount >5 && $timediff < 60){
		die("user-locked");
	}
    if($password == $password2){
    	$sql = "update user set failcount=0 where id=?";
    	$stmt=$conn->prepare($sql);
    	$stmt->bind_param("i",$id);
    	$stmt->execute();
    	echo "login-pass";
    	# 登陆成功后,记录session变量
    	$_SESSION['username'] = $username;
    	$_SESSION['islogin'] = 'true';
    	echo "<script>location.href='./welcome.php'</script>";
    }
	else{
		$sql = "update user set failcount=failcount+1,lasttime=now() where id=?";
		$stmt=$conn->prepare($sql);
		$stmt->bind_param("i",$id);
		$stmt->execute();
		// echo "pass-error"; // 不建议直接明确告诉用户,是密码还是用户名错误
		echo "login-fail";
		echo "<script>location.href='./login.html'</script>";
         }

登陆模块的各类防护措施:

验证码:不建议使用图片验证码

登陆次数限制,并记录IP

多因素认证:账密+短信

记录用户常用的IP地址区域,如果在不常用区域登陆,预警

除了使用session,还可以使用token

Lyle小白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
行业文档-设计装置-爆破钢结构活门槛密闭门.zip
09-05
爆破钢结构活门槛密闭门》是一个深入探讨工业安全和建筑设计的专业文档,主要针对在潜在爆炸性环境中如何设计和实施高效的护措施。在这个压缩包中,包含了一个名为“爆破钢结构活门槛密闭门.pdf”的文件,很...
php止同一个IP,PHP禁止同一IP频繁访问以止网站被攻击或采集的代码
weixin_33982195的博客
03-16 586
做网站最怕的是什么,相信大家第一个想到的是被攻击,第二个想到的是辛苦写的原创内容被采集,针对这两个问题,这里通过PHP禁止同一IP对网站的频繁访问用于止网站被CC攻击或采集,这也是目前用来判断一个用户是否正常访客的方法,不过也存在弊端,搜索引擎的蜘蛛暂时是无法判断/**通过禁止IP频繁访问止网站被攻击代码*/header('Content-type:text/html;charset=u...
用户登录限制(爆破登录漏洞)
weixin_48507846的博客
04-13 1602
用户登录限制(爆破登录漏洞) 前言 针对用户登录未作限制,批量爆破成功密码登陆系统的漏洞问题。 将以下个方法再嵌入你登录方法里面的合适位置。 下面是我嵌入位置参考: @RequestMapping(value = "/login", method = RequestMethod.POST) public @ResponseBody String loginPost(HttpServletRequest request, HttpServletResponse response,
爆破登录:配置/etc/hosts.deny禁止ip尝试ssh或者telnet操作
学习记录
02-16 4537
买的tx云服务器,每天登录上去就提示成千上万条尝试登录记录,看着就烦。于是找到个禁止ip登录的方法。 /etc/hosts.allow和/etc/hosts.deny,这两个文件中添加ip可以允许和禁止指定ip登录。不过由于我登录的ip是动态的,只能使用deny文件去禁止其他ip登录。如果自己登录的IP是固定的,可以直接在deny中配置sshd:all,再在allow中配置sshd:你的IP,这样就只有你自己能登录了,不用再担心别人恶意爆破了。 配置如下 $ cat /etc/hosts.deny |hea
MySQL安全秘籍:守护数据金库,攻击
陈书予
03-18 8418
MySQL是许多公司和组织的关键数据库,因此其安全性的重要性如此显而易见。受到网络攻击和黑客入侵的风险不断增加。一旦被黑客攻击或数据泄漏的风险,将严重损害业务流程、品牌声誉和数据安全。用户名和密码个人身份证件信息、地址和联系方式业务逻辑和关键业务数据因此,为了确保MySQL的安全性,需要采取多种措施来增强其安全性。用户角色是一组权限和访问控制的集合,可以通过将角色分配给用户来轻松管理和控制用户访问权限。通过给用户授权角色而不是直接向用户授予权限,可以使权限管理更加简便。
Mysql数据库如何限制密码重试次数,避免密码被暴力破解
白杨Shayne的博客
05-14 596
【代码】Mysql数据库如何限制密码重试次数,避免密码被暴力破解。
狭窄沟槽爆破开挖技术
07-12
通过一条盲沟爆破开挖施工的实践,介绍了针对深、窄、紧邻构筑物特点的沟槽,制订相应的优化对策,解决了运输道路、深沟挖装和爆破安全3个难题,取得了预期的爆破效果,为类似沟槽爆破开挖提供参考。
易语言源码通过注册码来爆破破解.rar
02-23
易语言源码通过注册码来爆破破解.rar 易语言源码通过注册码来爆破破解.rar 易语言源码通过注册码来爆破破解.rar 易语言源码通过注册码来爆破破解.rar 易语言源码通过注册码来爆破破解.rar ...
复杂环境下沟槽控制爆破应用
05-30
沟槽爆破因临空面少,夹制作用大,不仅影响爆破效果,而且会造成爆破震动的加剧,使飞石产生的危险性增大。因此,如何在复杂的环境下进行沟槽爆破,既能抑制爆破的有害效应,又能达到预期的爆破效果,这已成为此类爆破工程中...
浅析煤矿爆破拒爆原因与预措施
07-12
近年来,由于各种原因,爆破作业中产生拒爆或残爆的现象不断发生,并时而造成伤人事故,不仅影响了爆破效果,更为严重的是影响了煤矿的安全生产。因此,分析煤矿井下爆破作业产生拒爆的原因及其治处理措施,意义重大。
半自动化的注入爆破工具(PHP版)
03-27
此工具适用于不能使用UNION SELECT的情况,通过自己构造语句,可以爆出任何想要的数据. 由于不能做到多线程,并且受制于PHP的max_execution_time最大为30秒, 因此在网络不给力的情况下无法爆出所有想要的字符. 此时可以通过指定少数字符来逐段爆破. 另外, 目前只支持 and (select .... ) >={guess} 或者 and {guess}<=(select ...) 的情形.
SQL弱口令爆破
09-10
SQL弱口令爆破器 1433 自带密码生成器
python之——使用python编写爆破脚本
12-21
dvwa高级爆破 需要用户名 密码 token cookie 每次通过账号密码访问之前,需要获取token """ import urllib2 from bs4 import BeautifulSoup def getToken(): """提取token""" url=...
霍林河南露天煤矿爆破产生瞎炮的原因
05-28
在霍林河南露天矿的爆破工程中,常常在爆破后出现地表接力雷管、孔内雷管传播中断而引起的拒爆现象。究其原因,主要是先爆炮孔产生的飞石将后续起爆网路破坏和使未爆炮孔产生错位所致。爆破后产生瞎炮,不但影响爆破...
RAR压缩包密码爆破工具
05-28
基于python编写的rar压缩包密码爆破小工具,可以针对加密的rar文件密码进行爆破
止mysql被暴力破解的解决办法
weixin_41711265的博客
07-04 2063
为了进一步保护我们的MySQL 数据库不被恶意攻击,我们可以给MySQL的登录用户增加一个保护的功能:当某一个用户输入错误密码的次数超过指定的值后,禁止这个用户再次马上发起连接请求,这个禁止的时间长短可以灵活配置,不让其再次尝试登录,从而避免用户的密码被暴力的破解。我自己首先的疑惑是:MySQL支持这样的功能吗?答案是肯定的,MySQL 官方文档中有这样一段描述:在开始安装我们的插件之前,我们先看下我们的MySQL 默认是安装了哪些插件。我们可以使用如下两个中的任何一个命令查看已经安装的插件有哪些。第一个命
【史上最全】MySQL数据库安全加固方案_mysql 安全加固,不吃透都对不起自己
最新发布
2401_84239830的博客
04-10 726
执行命令 cat mysqld.cnf 2>/dev/null | grep -i ‘[a-zA-Z0-9#]*password’,若返回结果不为空,则在 mysqld.cnf 配置文件中清除[client]中的 password 信息.当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。| validate_password_policy | MEDIUM | #密码的验证强度等级。
SQL SERVER 2008安全配置
liujiayu2的专栏
07-08 891
0x00 sql server 2008 权限介绍 在访问sql server 2008的过程中,大致验证流程如下图: 当登录操作一个数据库的时候,会经过三次验证: 1. 操作系统的验证 2. SQL SERVER登录名的验证 3. 数据库用户名的验证 当使用windows身份认证模式的时候,使用的windows账号会通过操作系统的验证,然后以sysadmin的服
暴力破解之token爆破如何破解?
热门推荐
qq_34376868的博客
03-12 1万+
暴力破解 顾名思义是使用循环登陆尝试的方式尝试获取网站的用户和密码。 难点在于网站会通过验证码的方式阻止我们循环登陆尝试破解。 服务器验证码可以利用验证码刷新不及时的方式破解,前端代码我们可以对请求包修改删除验证码数据的方式绕过,但是token爆破如何破解? 第一步还是抓取一个请求包 对包中变量进行分析 此处多出了一个taken变量选项 taken变量如何来的?多半和返回包有关 通过对返回...
pikachu靶场token爆破
10-17
pikachu靶场是一个用于渗透测试和安全研究的在线平台,提供了各种漏洞环境和挑战,旨在帮助安全从业人员提高技能。在进行渗透测试时,止暴力破解是非常重要的一步。而pikachu靶场的token机制可以有效地止暴力...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值