PHP笔记-随机生成cookie、后台检索、通过session获取ID增强安全性

最新推荐文章于 2022-11-30 10:23:38 发布
最新推荐文章于 2022-11-30 10:23:38 发布
阅读量1k 收藏 2
点赞数
分类专栏: php 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq78442761/article/details/123322009
版权

PHP笔记-用户登录&权限拦截说明

这篇博文中设置Cookie时用的是数据库的用户id。这样有问题,用户可以随意改动ID,从而获取不同的用户权限。

这里我们更新下,增加点安全性。构造safe包

内容如下:

CookieAndSession.php

<?php

namespace safe;

class CookieAndSession{

    public $cookie;
    public $userId;
    public $browser;
    public $os;
    public $timeToLive;
}

CookieTool.php

<?php

namespace safe;

class CookieTool{

    protected function generateKey(): string{

        $length = 32;
        $retKey = "";
        for ($i = 0; $i < $length; $i++)
        {
            $retKey .= chr(mt_rand(33, 126));
        }
        return $retKey;
    }

    protected function getIPAddress(): string{

        $ipaddress = "";

        if (isset($_SERVER['HTTP_CLIENT_IP']))
            $ipaddress = $_SERVER['HTTP_CLIENT_IP'];
        else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
            $ipaddress = $_SERVER['HTTP_X_FORWARDED_FOR'];
        else if(isset($_SERVER['HTTP_X_FORWARDED']))
            $ipaddress = $_SERVER['HTTP_X_FORWARDED'];
        else if(isset($_SERVER['HTTP_FORWARDED_FOR']))
            $ipaddress = $_SERVER['HTTP_FORWARDED_FOR'];
        else if(isset($_SERVER['HTTP_FORWARDED']))
            $ipaddress = $_SERVER['HTTP_FORWARDED'];
        else if(isset($_SERVER['REMOTE_ADDR']))
            $ipaddress = $_SERVER['REMOTE_ADDR'];
        else
            $ipaddress = 'UNKNOWN';

        return $ipaddress;
    }

    protected function getBrowser($agent): string{

        $browserAgent = "";
        if(strstr($agent, 'MSIE')) {

            $browserAgent="Internet Explorer";
        }
        else if(strstr($agent, 'Opera')) {

            $browserAgent="Opera";
        }
        else if(strstr($agent, 'Firefox')) {

            $browserAgent="Firefox";
        }
        else if(strstr($agent, 'Chrome')) {

            $browserAgent = "Chrome";
        }
        else if(strstr($agent, 'Safari')) {

            $browserAgent = "Safari";
        }
        else{

            $browserAgent = "unknown";
        }

        return $browserAgent;
    }

    protected function getPlatform($agent): string{

        $agent = strtolower($agent);
        $platform = "";
        if(strstr($agent, 'win')) {

            $platform="windows";
        }
        else if(strstr($agent, 'linux')) {

            $platform = "linux";
        }
        else{

            $platform = "unknown";
        }

        return $platform;
    }

    protected function getMacAddress(): string{

        $MAC = exec('getmac');
        print_r($MAC);
        $MAC = strtok($MAC, ' ');
        return $MAC;
    }

    public function printCookieArray(){

        global $cookieAndSessionArray;
        print_r($cookieAndSessionArray);
    }


    public function setCookieByUserId($userId){

        $userToken = $this->generateKey();

        $browserAgent = $this->getBrowser($_SERVER['HTTP_USER_AGENT']);
        $platform = $this->getPlatform($_SERVER['HTTP_USER_AGENT']);

        $cookieAndSession = new CookieAndSession();
        $cookieAndSession->cookie = $userToken;
        $cookieAndSession->userId = $userId;
        $cookieAndSession->browser = $browserAgent;
        $cookieAndSession->os = $platform;
        $cookieAndSession->timeToLive = 24 * 60 * 60;

        @session_start();
        $_SESSION["user"] = serialize($cookieAndSession);
        setcookie('userToken',$userToken ,time() + 1 * 24 * 3600);
    }
}

因为这里我用的是自定义MVC框架,在每次加载的时候,会调用如下start函数:

    public static function start(){

        self::setPath();
        self::setConfig();
        self::setSafe();
        self::setUrl();
        self::setAutoLoad();
        self::setDispatch();
    }

其中setSafe()就是新加的,作用是加载对应的php文件

    private static function setSafe(){

        $files = self::getAllFile(SAFE_PATH);
        foreach($files as $file){

            if(file_exists($file)){

                include $file;
            }
        }
    }

其中getAllfile是获取当前目录下的所有文件,如下:

    private static function getAllFile($dir): array{

        $retArray = array();

        if(!is_dir($dir))
            return $retArray;

        $files = scandir($dir);
        foreach ($files as $file){

            $tmpFile = $dir . "/" . $file;
            if(!is_dir($tmpFile)){

                array_push($retArray, $dir . "/" . $file);
            }
        }

        return $retArray;
    }

其中SAFE_PATH如下:

 ROOT_PATH在index.php中定义的,如下:

index.php

<?php

    define("ROOT_PATH", str_replace("\\", "/", dirname(__DIR__)) . "/");
    include ROOT_PATH . "core/App.php";

    \core\App::start();

当用户点击登录后:

其userToken就为随机数了

后台登录校验是这样的:

    public function check(){

        $useName = trim($_POST["userName"]);
        $password = trim($_POST["password"]);
        $captcha = trim($_POST["captcha"]);

		......
		......
		......

        $cookieTool = new CookieTool();
        $cookieTool->setCookieByUserId($user['user_id']);

        $this->success("登录成功", '', 'dashboard', "index");
    }

 权限拦截如下:

    public function __construct(){

        include VENDOR_PATH . "smarty/Smarty.class.php";
        $this->smarty = new \Smarty();
        $this->smarty->template_dir = APP_PATH . P . "/view/";
        $this->smarty->compile_dir = RESOURCES_PATH . "views";

        if(strtolower(C) != "privilege"){

            if(isset($_COOKIE['userToken'])){

                @session_start();
                $obj = unserialize($_SESSION["user"]);
                if(strcmp($_COOKIE['userToken'], $obj->cookie) != 0){

                    $this->error("未登录,请先登录", "user", "privilege", "login");
                }

                $userModel = new UserModel();
                $user = $userModel->getById((int)$obj->userId);
                if($user){


                    return;
                }
            }

            $this->error("未登录,请先登录", "user", "privilege", "login");
        }
    }

IT1995
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
01-cookie-实现步骤以及实现原理
记录java学习日常~
06-05 744
当收到GET请求时,服务器从Cookie中读取会话ID,并根据会话ID从全局变量中获取会话信息进行打印;当收到POST请求时,服务器生成一个新的会话ID并关联一些会话信息,同时将会话ID保存到Cookie中并返回给客户端。需要注意的是,此处的全局变量sessions是线程安全的。需要注意的是,在使用Cookie保存用户会话状态时,需要注意安全问题。可以设置Cookie的httpOnly属性防止Cookie被恶意软件攻击等。下面是一个Cookie保存用户会话状态的完整示例。
Yii框架学习笔记sessioncookie简单操作示例
01-02
本文实例讲述了Yii框架学习笔记sessioncookie操作。分享给大家供大家参考,具体如下: session操作 <?php namespace app\controllers; use yii\web\Controller; class HelloController extends ...
php root_path定义,定义模板常量__ROOT__
weixin_39614834的博客
03-20 2722
世界上每天谈论对象的,不是媒婆,是程序员!知识点自定义模板常量自定义站点根目录版本:thinkphp5.07修改配置文件case\application\config.php下,找到如下代码块~~~'template' => [// 模板引擎类型 支持 php think 支持扩展'type' => 'Think',// 模板路径'view_...
js生成、读取cookie(cookie取的是随机数)
十方地藏
04-10 3618
  rnd.today=new Date();rnd.seed=rnd.today.getTime();function rnd() {    rnd.seed = (rnd.seed*9301+49297) % 233280;    return rnd.seed/(233280.0);};function rand(number) {    return M
php root_path定义,thinkphp __PUBLIC__的定义 __ROOT__等常量的定义
weixin_39600400的博客
03-20 1003
‘__TMPL__‘ => APP_TMPL_PATH, // 项目模板目录‘__ROOT__‘ => __ROOT__, // 当前网站地址‘__APP__‘ => __APP__, // 当前项目地址‘__GROUP__‘ => defined(‘GROUP_NAME‘)?__GROUP__:_...
php中生成cookie,php中如何创建Cookie
weixin_39702480的博客
03-10 628
Cookie的创建十分简单,只要用户的浏览器支持 Cookie 功能,就可以使用 PHP 内建的函数来建立一个新的Cookie。在PHP中通过 setcookie()函数创建 Cookie。在创建 Cookie 之前必须了解的是, Cookie是 HTTP 头标的组成部分,而头标必须在页面其他内容之前发送,因此它必须最先输出。所以即使是空格或者是空行,都不要在调用setcookie() 函数之前...
C#学习笔记- 随机函数Random()的用法详解
01-01
见帮助文档,简单再提一下,random(number)返回一个0~number-1之间的随机整数.参数number代表一个整数. 示例: trace(random(5)); 2、Math.random() 见帮助文档。返回一个有14位精度的0~1之间的数,注意没有参数。 示例...
学习笔记-能量生成模型EBGAN2
08-04
先在第三节构建更完备的理论基础,然后再在第四节求解 H(x)。3.EBM 的理论分析回到最开始生成模型在探讨的问题上:我们有一批数据 x1, x2, … , x
PHP学习笔记session
01-20
安全性较高,可信度强 狭义的session指的是web会话中的session id以及关联的数据,广义的session指通信双方的交互会话。例如用户登录是一次session交互,在ATM机取钱是一次session交互,等等。 ses
安全测试学习笔记一(Cookie&Session)
03-23
一,Session:含义:有始有终的一系列动作\消息1,隐含了“面向连接”和“保持状态”两种含义2,一种用来在客户端与服务器之间保持状态的解决方案3,也指这种解决方案的存储结构“把××保存在session里”二,http...
PHP 读写 COOKIE
Cwillchris的博客
06-01 3079
cookie介绍及php读写删cookie
php创建cookie菜鸟,ASP Cookies
weixin_39941847的博客
04-01 100
ASP Cookies 集合 完整的 Response 对象参考手册Cookies 集合用于设置或取得 cookie 的值。如果 cookie 不存在,就创建它,并赋予它规定的值。注意:Response.Cookies 命令必须位于 标签之前。语法Response.Cookies(name)[(key)|.attribute]=valuevariablename=Request.Cookies(...
php cookie教程,php如何创建cookie获取cookie的值
weixin_42511270的博客
03-09 350
创建cookie创建cookie的代码如下:setCookie($cookieName,$value,time()+秒数);如:创建一个cookie,名字为sitename,值为manong,过期时间为15天setcookie("UserName","zs",time()+15*24*3600);注意:如果不设置时间,就不会保存到cookie文件中。浏览器不关时,能够访问。当浏览器关闭时,就无法访...
java sessionid长度_phpsession_id()函数详细介绍,会话id生成过程及session id长度
weixin_39664696的博客
02-13 277
phpsession_id()函数原型及说明session_id()函数说明:stringsession_id([string$id])session_id() 可以用来获取/设置 当前会话 ID。为了能够将会话 ID 很方便的附加到 URL 之后, 你可以使用常量 SID 获取以字符串格...phpsession_id()函数原型及说明session_id()函数说明:string sess...
PHP获取session_id()
Purgatory001的博客
09-25 669
分为三种,适当取用 <?php session_start(); print(""); $sid = session_id(); print("Session ID returned by session_id(): ".$sid."\n"); $sid = SID; print("Session ID returned by SID: ".$sid."\n"); $mysite = $_SESSION["mysite"]; print("Value of mysite has be...
php获得session id,php查看当前SessionID方法
weixin_30838971的博客
03-09 4427
PHP session 变量用于存储有关用户会话的信息,或更改用户会话的设置。Session 变量保存的信息是单一用户的,并且可供应用程序中的所有页面使用。PHP Session 变量当您运行一个应用程序时,您会打开它,做些更改,然后关闭它。这很像一次会话。计算机清楚你是谁。它知道你何时启动应用程序,并在何时终止。但是在因特网上,存在一个问题:服务器不知道你是谁以及你做什么,这是由于 HTTP 地...
php获取项目根,php 获取项目根目录
weixin_29124971的博客
03-10 1882
背景:项目中需要找到一个文件位置存放临时生成的文件,放到项目根目录下,会造成项目文件大小很庞大的感觉,所以想在项目根目录外创建一个文件夹。第一步:获得项目的根目录,在项目的初始php文件(项目根目录/includes/init.php)加上常量定义就可以了。define('ROOT_PATH', str_replace('includes/init.php', '', str_replace('\...
scrapy 中间件设置随机UA、随机cookie、以及代理
qq_46183423的博客
11-30 1115
通过scrapy中间件设置随机UA、随机cookie、以及代理。每次请求获取一个随机的ua和cookie和ip
php随机生成cookie,应用cookie应当能够完成php指定时候随机一次
weixin_39864682的博客
03-20 311
在掏出数据以后把数据缓存在客户端,然后cookie指定一个时候周期,在下次革新时先推断这个cookie时候到期没,假如到期了就从新革新,不然就挪用当地缓存。以下是以 emlog 博客为案例的代码//载入全局加载项require_once'init.php';//链接数据库$DB=MySql::getInstance();/*****************依据前提随机猎取20条文章的GID*...
android 登录后台,安卓开发笔记-请求后台接口实现APP登录功能
最新发布
06-01
好的,关于Android登录后台实现APP登录功能,你需要进行以下步骤: 1.在Android项目中添加网络权限 在AndroidManifest.xml文件中添加以下代码: ```xml <uses-permission android:name="android.permission.INTERNET" /> ``` 2.使用HttpURLConnection发送POST请求 可以使用HttpURLConnection类来发送POST请求,以下是一个示例代码: ```java URL url = new URL("http://yourbackend.com/login"); HttpURLConnection conn = (HttpURLConnection) url.openConnection(); conn.setRequestMethod("POST"); conn.setDoInput(true); conn.setDoOutput(true); //添加请求头 conn.setRequestProperty("Content-Type", "application/json; charset=UTF-8"); //添加请求体 JSONObject jsonParam = new JSONObject(); jsonParam.put("username", "yourusername"); jsonParam.put("password", "yourpassword"); OutputStreamWriter writer = new OutputStreamWriter(conn.getOutputStream()); writer.write(jsonParam.toString()); writer.flush(); //读取响应 BufferedReader reader = new BufferedReader(new InputStreamReader(conn.getInputStream())); StringBuffer sb = new StringBuffer(); String line; while ((line = reader.readLine()) != null) { sb.append(line); } reader.close(); String response = sb.toString(); ``` 3.解析后台返回的数据 在上面的代码中,我们使用了JSONObject类来创建一个JSON请求体。在得到后台返回的数据后,你需要使用相应的JSON解析器来解析返回的数据。例如,可以使用GSON库来解析JSON数据: ```java Gson gson = new Gson(); LoginResponse response = gson.fromJson(sb.toString(), LoginResponse.class); ``` 其中,LoginResponse是一个你自己定义的Java类,用来表示后台返回的数据。你需要根据后台返回的数据来定义这个类的属性。 以上就是实现Android登录后台的基本步骤,希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT1995

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值