PHP验证登录状态和安全性

最新推荐文章于 2024-05-13 22:57:29 发布
最新推荐文章于 2024-05-13 22:57:29 发布
阅读量3.2k 收藏 4
点赞数

固定的私钥来做salt其实不好,一旦私钥泄漏之后就很麻烦,而且最痛苦的其实是你不知道你到底有没有泄漏

用户的密码字符串作为salt是更好的办法

签名字符串:

$sign = md5('$user_id+$user+_password[+浏览器UA[+IP地址[...]]]');

里面爱加什么你可以自己发挥

存储到cookie里面的字符串为

$token = $user_id.','.$sign;

然后你需要对用户记录做一个服务器端的缓存,缓存通过用户编号查询,里面至少要包含用户的密码

每次用户请求时,都会从缓存里面去拿他的密码来重新计算数字签名做比对

这样的好处有:

  1. 不存在私钥泄漏的问题,即使出问题也不会影响所有用户
  2. slat字符串泄漏就等同于用户的密码泄漏,逻辑上是严密的
  3. 即使有人持有$token字符串,只要用户一修改密码,老的$token就马上失效了

在此基础上还可以有其它的发挥,比如用户记录设计专门的一个字段:salt,每次用户登录成功时就生成一个随机字符串更新到salt内,数字签名计算用

// 记得把$user_salt也放到缓存里
$sign = md5('$user_id+$user_password+$user_salt+...');

这样一来,每次用户重新登录之后,之前的$token一定会失效,不但安全性更高,而且还实现了每次只允许一个人登录使用

最后,记得在用户修改密码之后更新你的缓存

PS:

我自己的系统除了使用用户密码来计算数字签名之外,还使用了浏览器UA加固定私钥的方式对$token做了一次对称加密才放到cookie内,算是又多一层保护

======================================================================================

目前我这么干:

一个数组:

$cookie = array();
$cookie['username'] = '';
$cookie['nickname'] = '';
$cookie['email'] = '';
$cookie['userid'] = '';
$cookie['security_token'] = '';
$cookie = serialize($cookie);

$seCookie = AES::encode(SYSTEM_AUTH_KEY,$cookie);
Cookie::set('__token',$seCookie);
Cookie::set('__security_token',$security_token);
/**
 * cookie中还有会话id可以和security_token进行绑定验证
 */

其他页面的验证就看着办好了。此外还可绑定IP、UserAgent等参数。security_token


SQZHAO
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php用户登录验证及效验
qq_31147847的博客
04-17 3817
php用户登录验证及效验 登录界面 后台界面 代码示例 登录页面代码 <?php // 载入配置文件 require_once '../config.php'; // // 给用户找一个箱子(如果你之前有就用之前的,没有给个新的) session_start(); function login () { // 1. 接收并校验 // 2. 持久化 // 3. 响应 ...
php 用户登录验证_php面向对象的用户登录身份验证
weixin_39540271的博客
03-08 123
本文实例为大家分享了php用户登录身份验证的具体代码,供大家参考,具体内容如下一、代码conn.php$conn = new com("adodb.connection");$connstr="driver={microsoft access driver (*.mdb)}; dbq=". realpath("data/db_database07_188.mdb");$conn->open(...
PHP实现登录和注册(附源码)
最新发布
2401_83017604的博客
05-13 2929
在桌面找到该软件后双击打开它,就可以看到如下页面,然后我们需要在该集成包中下载一些软件下载之后就回到主页去看,本次的案例我使用Nginx 来启动 Web服务,(这里选择可以多样)启动MySQL时会出现启动不了的情况(能正常启动则跳到 "2.创建网站")解决:window键 + R 输入 SERVICES.MSC 回车 ,找到 mysql服务 后右键停止服务,再重新启动即可还有一种情况可能是端口被占用的情况使用phpStudy显示3306端口被占用,该怎么办?
php 验证用户是否登录
09-11
自己写 的一款 php 验证用户是否登录 的例子 自己感觉 还行吧 初学者 写的 不好 大家担待点哦
php 用户登录验证
weixin_34014555的博客
06-27 107
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> &l...
PHP实现用户权限验证登录
qq_36953067的博客
02-16 5166
PHP实现用户权限验证登录 目前,大多数网站均支持用户登录注册功能,而做管理员和普通成员登录验证的网站少之又少,基本上一个网站的后台管理地址和前端页面是分开的,管理员和普通成员也是分开的,这也是基于安全考虑,而小编今天将管理员和普通员整合在一起,实现登录时正确的权限验证登录后正确的权限页面显示。 数据表设计 其中rule字段的值对应前端页面的单选框的value值。rulename仅作为用户权限标识。 user表 -- phpMyAdmin SQL Dump -- version 4.9.1 -- h
PHP session会话的安全性分析
12-19
然而,由于session会话通常包含了敏感数据,如用户登录状态、购物车信息等,因此确保session的安全性至关重要。以下是针对PHP session会话安全性的一些关键知识点: 1. **防止攻击者获取会话ID**: - 不要在URL中...
PHP 实现超简单的SESSION与COOKIE登录验证功能示例
10-15
在本文中,我们将深入探讨如何使用PHP实现基于SESSION和COOKIE的简单登录验证功能。...通过结合使用它们,我们可以创建一个基本的登录系统,但为了提高安全性,还需要考虑更多的安全措施和最佳实践。
php面向对象的用户登录身份验证
10-19
PHP编程中,面向对象的用户登录身份验证是构建安全Web应用程序的重要环节。...然而,实际应用中,还需要考虑更多的安全性和用户体验因素,如记住密码功能、密码找回机制、验证码防止机器人攻击等。
PHP用户验证和标签推荐的简单使用
10-21
总的来说,PHP用户验证确保了安全性,防止非法访问,而标签推荐则提升了用户体验,帮助用户发现感兴趣的内容。在实际开发中,这些基础功能应进一步完善,如加入错误处理、防止SQL注入和XSS攻击,以及采用更安全的...
PHP中搭建环境实现简单的用户登录和注册功能
05-13
对于前端的安全性,需要注意防止XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等。 在后端,PHP代码应确保安全,避免SQL注入等常见安全问题。可以使用预编译语句或者参数化查询来防御此类攻击。同时,为了防止密码...
用户名密码验证php代码
05-17
创建一个用户登录验证页面,用户登录成功后点击网站其他网页自动提示用户名。要求: 请分别使用cookie、session等至少三种方法实现 每种方法不少于三个页面 登录后每个页面打开均提示用户名,并根据用户种类不同,提示不同信息,普通用户提示“用户lanzhou”,管理员提示“管理员admin”。 普通用户:用户名lanzhou密码654321 管理员:用户名admin密码wme123 本例采用session
PHP实现登录验证码校验功能
10-18
主要为大家详细介绍了PHP实现验证码校验功能,主要是利用PHP中的 SESSION功能来实现,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
php+mysql的登录验证
03-30
这个是按照php100张恩明老师讲课的视频写的,代码简单,功能完善。
php登陆验证安全,PHP验证登录状态安全性
weixin_32703763的博客
03-19 181
固定的私钥来做salt其实不好,一旦私钥泄漏之后就很麻烦,而且最痛苦的其实是你不知道你到底有没有泄漏用户的密码字符串作为salt是更好的办法签名字符串:$sign = md5('$user_id+$user+_password[+浏览器UA[+IP地址[...]]]');里面爱加什么你可以自己发挥存储到cookie里面的字符串为$token = $user_id.','.$sign;然后你需要对用...
PHP登录怎么写安全,PHP登录安全理念
weixin_39980711的博客
03-17 132
我有一个系统登录用户并验证他们在页面上登录的想法 .我意识到那里有很多系统,但我主要是好奇,如果我的想法是好的 . 我一直认为是重要的做法(如密码加密等) . 我真的使用了应用程序安全性,希望得到一些反馈 .当用户登录时,他们的名称和密码是根据数据库进行验证的,密码是使用SHA256和随机生成的盐加密的,整个字符串(盐和加密密码都是128个字符 . 长) . 这是密码验证码:function Va...
php和MySql实现注册登录功能时需要注意的安全问题 (1)
import totw.Blogs;
06-14 2938
在实现Web的注册登录功能时需要注意的安全问题 (1) 本文涉及到的点: - 利用MySQLi或者PDO连接MySQL数据库 - 利用预处理SQL语句(Prepared SQL statements)防范SQL注入 - 利用htmlentities()防范Cross-Site Scripting (XSS)攻击 - 利用MD5对用户密码进行加密 - 利用HTTP headers防范Se...
php登录验证实现方法,php 用户登录验证码的实现方法
weixin_39861920的博客
03-25 1577
下面我们用Mysql数据库来存储用户的身份,我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性.首先,在MySql中建立一个存放用户信息的数据库,数据库名为XinXiKu,表名为user;表定义如下:create table user(ID INT(4) NOT NULL AUTO_INCREMENT,name V...
php登录安全设置,php 如何做保持登入 有关安全方面的详细说下
weixin_31318441的博客
03-10 179
需要说明的是,PHP的session也是用cookie实现的,保存在浏览器的cookie名称默认为PHPSESSID.这个session的cookie也是可以设置过期时间的,比如过期时间设置为3600秒:session_set_cookie_params(3600);这样关闭浏览器后在一小时内重新打开这个cookie依旧有效.PHP session是每一个PHPSESSID默认对应一个保存会话数据...
留言本后台登录设计与PHP安全验证详解
5. **安全性考虑**: - 整个设计强调了安全实践,如通过验证请求类型、使用会话技术保护用户信息,并通过权限控制确保只有授权用户才能执行特定操作。 通过学习这篇文档,读者可以掌握如何设计一个基本的留言本后台...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值