PHP验证登录状态和安全性

最新推荐文章于 2021-03-25 12:03:54 发布
最新推荐文章于 2021-03-25 12:03:54 发布
阅读量3.2k 收藏 4
点赞数

固定的私钥来做salt其实不好,一旦私钥泄漏之后就很麻烦,而且最痛苦的其实是你不知道你到底有没有泄漏

用户的密码字符串作为salt是更好的办法

签名字符串:

$sign = md5('$user_id+$user+_password[+浏览器UA[+IP地址[...]]]');

里面爱加什么你可以自己发挥

存储到cookie里面的字符串为

$token = $user_id.','.$sign;

然后你需要对用户记录做一个服务器端的缓存,缓存通过用户编号查询,里面至少要包含用户的密码

每次用户请求时,都会从缓存里面去拿他的密码来重新计算数字签名做比对

这样的好处有:

  1. 不存在私钥泄漏的问题,即使出问题也不会影响所有用户
  2. slat字符串泄漏就等同于用户的密码泄漏,逻辑上是严密的
  3. 即使有人持有$token字符串,只要用户一修改密码,老的$token就马上失效了

在此基础上还可以有其它的发挥,比如用户记录设计专门的一个字段:salt,每次用户登录成功时就生成一个随机字符串更新到salt内,数字签名计算用

// 记得把$user_salt也放到缓存里
$sign = md5('$user_id+$user_password+$user_salt+...');

这样一来,每次用户重新登录之后,之前的$token一定会失效,不但安全性更高,而且还实现了每次只允许一个人登录使用

最后,记得在用户修改密码之后更新你的缓存

PS:

我自己的系统除了使用用户密码来计算数字签名之外,还使用了浏览器UA加固定私钥的方式对$token做了一次对称加密才放到cookie内,算是又多一层保护

======================================================================================

目前我这么干:

一个数组:

$cookie = array();
$cookie['username'] = '';
$cookie['nickname'] = '';
$cookie['email'] = '';
$cookie['userid'] = '';
$cookie['security_token'] = '';
$cookie = serialize($cookie);

$seCookie = AES::encode(SYSTEM_AUTH_KEY,$cookie);
Cookie::set('__token',$seCookie);
Cookie::set('__security_token',$security_token);
/**
 * cookie中还有会话id可以和security_token进行绑定验证
 */

其他页面的验证就看着办好了。此外还可绑定IP、UserAgent等参数。security_token


SQZHAO
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php用户登录验证及效验
qq_31147847的博客
04-17 3814
php用户登录验证及效验 登录界面 后台界面 代码示例 登录页面代码 <?php // 载入配置文件 require_once '../config.php'; // // 给用户找一个箱子(如果你之前有就用之前的,没有给个新的) session_start(); function login () { // 1. 接收并校验 // 2. 持久化 // 3. 响应 ...
php 用户登录验证_php面向对象的用户登录身份验证
weixin_39540271的博客
03-08 122
本文实例为大家分享了php用户登录身份验证的具体代码,供大家参考,具体内容如下一、代码conn.php$conn = new com("adodb.connection");$connstr="driver={microsoft access driver (*.mdb)}; dbq=". realpath("data/db_database07_188.mdb");$conn->open(...
php 验证用户是否登录
09-11
自己写 的一款 php 验证用户是否登录 的例子 自己感觉 还行吧 初学者 写的 不好 大家担待点哦
php 用户登录验证
weixin_34014555的博客
06-27 106
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> &l...
PHP实现用户权限验证登录
qq_36953067的博客
02-16 5142
PHP实现用户权限验证登录 目前,大多数网站均支持用户登录注册功能,而做管理员和普通成员登录验证的网站少之又少,基本上一个网站的后台管理地址和前端页面是分开的,管理员和普通成员也是分开的,这也是基于安全考虑,而小编今天将管理员和普通员整合在一起,实现登录时正确的权限验证登录后正确的权限页面显示。 数据表设计 其中rule字段的值对应前端页面的单选框的value值。rulename仅作为用户权限标识。 user表 -- phpMyAdmin SQL Dump -- version 4.9.1 -- h
PHP 实现超简单的SESSION与COOKIE登录验证功能示例
10-15
在本文中,我们将深入探讨如何使用PHP实现基于SESSION和COOKIE的简单登录验证功能。...通过结合使用它们,我们可以创建一个基本的登录系统,但为了提高安全性,还需要考虑更多的安全措施和最佳实践。
PHP用户验证和标签推荐的简单使用
10-21
总的来说,PHP用户验证确保了安全性,防止非法访问,而标签推荐则提升了用户体验,帮助用户发现感兴趣的内容。在实际开发中,这些基础功能应进一步完善,如加入错误处理、防止SQL注入和XSS攻击,以及采用更安全的...
PHP中搭建环境实现简单的用户登录和注册功能
最新发布
05-13
对于前端的安全性,需要注意防止XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等。 在后端,PHP代码应确保安全,避免SQL注入等常见安全问题。可以使用预编译语句或者参数化查询来防御此类攻击。同时,为了防止密码...
php和jquery简单登录验证
07-08
在IT行业中,PHP和jQuery是两个非常重要的技术,它们经常被结合使用来创建交互式的Web应用程序,特别是...不过,实际项目中可能还需要考虑更多细节,如CSRF防护、验证码、多因素认证等,以增强系统的安全性和用户体验。
PHP通过session id 实现session共享和登录验证的代码
10-28
虽然上述代码片段提供了一个基本的实现思路,但在实际项目中,为了安全性和可扩展性,应考虑使用更专业的Session管理解决方案,如中央Session存储和分布式Session处理。同时,确保遵循最佳实践,如定期清理过期...
php面向对象的用户登录身份验证
10-19
主要为大家详细介绍了php面向对象的用户登录身份验证,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
用户名密码验证php代码
05-17
创建一个用户登录验证页面,用户登录成功后点击网站其他网页自动提示用户名。要求: 请分别使用cookie、session等至少三种方法实现 每种方法不少于三个页面 登录后每个页面打开均提示用户名,并根据用户种类不同,提示不同信息,普通用户提示“用户lanzhou”,管理员提示“管理员admin”。 普通用户:用户名lanzhou密码654321 管理员:用户名admin密码wme123 本例采用session
thinkphp 5框架实现登陆,登出及session登陆状态检测功能示例
01-03
本文实例讲述了thinkphp 5框架实现登陆,登出及session登陆状态检测功能。分享给大家供大家参考,具体如下: 1,访问http://localhost/tp5/admin.php时,判断有没有登陆: 想法:写一个父类,继承controller,然后定义一个初始化方法,在控制器调用时就判断是否登陆 <?php namespace app\Admin\controller; use think\Controller; use think\Session; class Basic extends Controller { //如果你的控制器类继承了\think\Controller类
php登陆验证安全,PHP验证登录状态安全性
weixin_32703763的博客
03-19 179
固定的私钥来做salt其实不好,一旦私钥泄漏之后就很麻烦,而且最痛苦的其实是你不知道你到底有没有泄漏用户的密码字符串作为salt是更好的办法签名字符串:$sign = md5('$user_id+$user+_password[+浏览器UA[+IP地址[...]]]');里面爱加什么你可以自己发挥存储到cookie里面的字符串为$token = $user_id.','.$sign;然后你需要对用...
PHP登录怎么写安全,PHP登录安全理念
weixin_39980711的博客
03-17 132
我有一个系统登录用户并验证他们在页面上登录的想法 .我意识到那里有很多系统,但我主要是好奇,如果我的想法是好的 . 我一直认为是重要的做法(如密码加密等) . 我真的使用了应用程序安全性,希望得到一些反馈 .当用户登录时,他们的名称和密码是根据数据库进行验证的,密码是使用SHA256和随机生成的盐加密的,整个字符串(盐和加密密码都是128个字符 . 长) . 这是密码验证码:function Va...
php和MySql实现注册登录功能时需要注意的安全问题 (1)
import totw.Blogs;
06-14 2930
在实现Web的注册登录功能时需要注意的安全问题 (1) 本文涉及到的点: - 利用MySQLi或者PDO连接MySQL数据库 - 利用预处理SQL语句(Prepared SQL statements)防范SQL注入 - 利用htmlentities()防范Cross-Site Scripting (XSS)攻击 - 利用MD5对用户密码进行加密 - 利用HTTP headers防范Se...
php登录验证实现方法,php 用户登录验证码的实现方法
weixin_39861920的博客
03-25 1571
下面我们用Mysql数据库来存储用户的身份,我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性.首先,在MySql中建立一个存放用户信息的数据库,数据库名为XinXiKu,表名为user;表定义如下:create table user(ID INT(4) NOT NULL AUTO_INCREMENT,name V...
php登录安全设置,php 如何做保持登入 有关安全方面的详细说下
weixin_31318441的博客
03-10 177
需要说明的是,PHP的session也是用cookie实现的,保存在浏览器的cookie名称默认为PHPSESSID.这个session的cookie也是可以设置过期时间的,比如过期时间设置为3600秒:session_set_cookie_params(3600);这样关闭浏览器后在一小时内重新打开这个cookie依旧有效.PHP session是每一个PHPSESSID默认对应一个保存会话数据...
php中如何判断用户是否登录状态,如何判断用户是否已经登录
weixin_32268169的博客
03-10 1062
//discuz同服务器下无passport登陆整合方法//贡献:huozhe3136 QQ:2666556//假设discuz安装在网站根目录下的bbs/中//用法事例error_reporting(E_ALL);$path_bbs="bbs/";//请修改为你的论坛的相对路径$check_username="admin";//测试时这个用户名必须在论坛里也存在$check_password="...
计算机网络安全技术:留言本后台设计写实现.pdf
05-12
1. 后台登录与功能设计 Index.php  管理员登录验证页面,用于输出留言本后台管理登录表单及处理登录 用户名/ 密码验证,下面是登录表单: 留言本后台设计写实现 1. 后台登录与功能设计 与填写留言和提交留言的表单大概代码是相同的,就不多做描 述。这里也用到了onsubmit 事件,相关代码也就不再贴出,可 以根据上文提供的代码进行修改。 留言本后台设计写实现 1. 后台登录与功能设计 登录页面主要就是用于验证账户/ 密码正确与否,以下是关键代码: 留言本后台设计写实现 1. 后台登录与功能设计 代码开头的session_start 是PHP 会话技术,session 是存储在服务器端的 会话,相对安全,并且不像cookie 那样有存储长度限制,具体功能可以 通过这个连接了解:/w3cnote/php-session- login.html  该段代码首先确认如果是用户登录的话,必须是POST 请求提交。然后 根据用户输入的信息去数据库核对是否正确,如果正确,会将页面重定 向到登录后的admin.php 页面,否则提示登录失败,然后会弹出提示框, 提示账号或密码错误,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值