php登录安全设置,php 如何做保持登入 有关安全方面的详细说下

最新推荐文章于 2022-08-17 17:25:29 发布
最新推荐文章于 2022-08-17 17:25:29 发布
阅读量177 收藏
点赞数
文章标签: php登录安全设置

需要说明的是,PHP的session也是用cookie实现的,保存在浏览器的cookie名称默认为PHPSESSID.

这个session的cookie也是可以设置过期时间的,比如过期时间设置为3600秒:

session_set_cookie_params(3600);

这样关闭浏览器后在一小时内重新打开这个cookie依旧有效.

PHP session是每一个PHPSESSID默认对应一个保存会话数据的文件.

也就是说不同的PHPSESSID的会话数据是不共享的.

比如你用PHP session实现一个购物车或者视频观看记录的功能,

你把购物车的数据保存在会话文件里,那你在其他设备或浏览器登录后是看不到你的购物车数据的.

这时你应该把购物车数据保存在数据库里.

下面说说自己怎么基于数据库实现一套自定义的cookie会话机制:

cookie里存储用户ID(明文)和用户的盐值(哈希).

需要高安全性的话,还可以用MCRYPT_BLOWFISH对整个cookie的内容做一次加密.

这个cookie既要做到可以认证用户,又要做到不能被伪造.

用户的盐值是在用户注册时,为了保护密码,而随机生成并确定下来,保存在用户表里对应用户的一个字段数据.

//保护用户密码的盐

$salt = sha1( uniqid(getmypid().'_'.mt_rand().'_', true) );

//用户的密码($pwd_user是用户输入的密码明文)

$pwd_db = sha1($salt.sha1($pwd_user));

//cookie里的盐

//其中$global_salt是配置里定义的全局盐,用来保护用户的盐,一旦修改,所有用户的cookie都将失效.

$cookie_salt = sha1($global_salt.sha1($salt));

//最终生成的cookie内容

$cookie = base64_encode($user_id.'|'.$cookie_salt);

//如果你需要高安全性,还可以使用MCRYPT_BLOWFISH对整个cookie的内容做一次加密.

$cookie = mcrypt_blowfish($cookie, $key);

//设置cookie,这里把过期时间设为3600秒(1小时)

setcookie($cookie_name, $cookie, time()+3600);

其中用户的盐,应用全局的盐,以及MCRYPT_BLOWFISH加密的密钥$key,都是随机生成并确定下来的.

算法比如:

sha1( uniqid(getmypid().'_'.mt_rand().'_', true) )

生成的是一个进程ID+随机数+基于当前时间微秒数+熵的一个哈希值.

验证用户的时候就是先用私钥解密$_COOKIE['cookie_name'],

然后base64_decode拿到用户ID,

然后根据用户ID查询用户的盐,

然后把这个盐经过同样的哈希算法后跟cookie里的盐$cookie_salt对比,

如果一致,则判定用户的cookie有效.

//解密cookie

$cookie = mdecrypt_blowfish($_COOKIE['cookie_name'], $key);

//分割后拿到里面的$user_id和$cookie_salt

$cookie = explode('|', base64_decode($_COOKIE['cookie_name']));

Rosa96
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php网页怎么制作,PHP网站中保持登录状态
weixin_28867991的博客
03-09 379
大多数网站在用户登录时会提供一个“记住我”或者“保持登录状态”的选项,只知道是用Cookie实现的,但是具体来的工作流程是什么?因为要实现一个网站登录的东西,所以想从细节方面了解这个问题的朋友就一起来学习下吧。先结论:1.cookie和session都可以用来保持登录状态。2.如果使用cookie,用于保存用户状态的cookie需要加密,并且可被识别,但不必须可以解密。这个意思就是,加密后...
PHP 登入注册.zip
最新发布
06-14
原生 PHP 登入注册
简单的方法让你的后台登录更加安全(php中加session验证)
10-27
通过特定文件为后台入口注册session,否则失败退出。即直接使用原后台地址将无法登录后台。这样一来,入口文件名的多样性、可变更性将为你的后台登录提供更加安全的环境
基于php/mysql的网上用户验证_PHP中对用户身份认证实现两种方法
weixin_33917217的博客
02-11 255
当访问者浏览受保护页面时,客户端浏览器会弹出对话窗口要求用户输入用户名和密码,对用户的身份进行验证,以决定用户是否有权访问页面。下面用两种方法来明其实现原理。一、用HTTP标头来实现  标头是服务器以HTTP协议传送HTML信息到浏览器前所送出的字串。HTTP采用一种挑战/响应模式对试图进入受密码保护区域的用户进行身份验证。具体来,当用户首次向WEB服务器发出访问受保护区域的请求时,挑战进程被...
php 保护页面,php – 如何仅为已登录用户保护页面?
weixin_34449682的博客
03-11 76
我创建了一个效果很好的登录表单.但我意识到我的用户所指向的页面仍然可以被任何人访问.如何保护只有登录者可以查看的被访问页面?我是否需要在成功页面上放置脚本?这是我的check_login.php:$host="localhost"; // Host name$username="xxx"; // Mysql username$password="xxx"; // Mysql password$db...
php 同时登录怎么办,经典用PHP实现同一个帐号不允许同时登陆,只允许一个帐号登录...
weixin_42126865的博客
03-10 779
数据库表 user_login_info字段:id,user_ip,user_id,last_access_timeuser_id 唯一性索引1. 用户登录后如果没有当前用户的数据,插入一条数据,user_ip(用户机器的IP),user_id(用户ID),last_access_time(当前登录时间)如果已经存在,则更新 user_ip,last_access_time 2个字段2. 如何判...
精简php注册登录.zip_PHP注册登入_cool1gx_php登录注册_researchgfo_登录注册
09-15
注册加登入
PHP实现自动登入google play下载app report的方法
10-25
主要介绍了PHP实现自动登入google play下载app report的方法,较为详细的讲述了登陆下载APP及对应的实现代码,具有不错的实用价值,需要的朋友可以参考下
php登录及注册源码.zip
07-25
php实现登录及注册功能,源码文件,该代码实现了一套常用的用户登录,用户信息注册,修改以及一览的功能
php出现web系统多域名登录失败的解决方法
12-18
这里需要注意的是:加解密一定需要安全验证。但是这个方法也不够完美,两个站点必须有相同一级域名;另外这种完全基于cookie的方式,安全性不够高 function login() { $info = callloginserver(); //访问登录...
php防止同一用户多次登录,php有效防止同一用戶多次登錄
weixin_30986079的博客
03-19 460
PHP實現同一個帳號不允許多人同時重復登陸數據庫表user_login_info字段:id,user_ip,user_id,last_access_timeuser_id唯一性索引1.用戶登錄后如果沒有當前用戶我的百分之一的數據,插入一條數據,user_ip(用戶機器的IP),user_id(用戶ID),last_access_time(當前登錄時間)如果已經存在,則更新user_ip,...
自定义加密cookie加盐密码
weixin_42904196的博客
12-14 496
以python代码为例 创建UserP类 三个方法去实现加盐密码 cookie 加盐 以下为代码块解释 import hashlib,base64 import random,string class UserP(): """ getPwd: 生成加盐的密码 setAuthcode: 生成验证的cookie setSalt: 生成加盐 """ ...
安全登录代码 php,php如何保证Cookie自动登录安全性?
weixin_36159799的博客
03-10 163
[php]代码库class member{var $ck='Dxe8SqIcmyUf';var $db; //传入PDO对象var $mid; //会员IDpublic $scr; //cookie 安全码 $_COOKIE['scr']public $user;//cookie User $_COOKIE['user']public $srpwd;//执行checkcookie后方可调用...
PHP实现安全的自动登录
js8355081的博客
05-22 4077
PHP自动登录的实现思路一般为使用cookie进行状态验证。网上和ecshop等系统对于自动登录的实现思路具体为单纯设置cookie的uid、username、password 查看复制打印? //检查用户是否登录   function checklogin(){    if(emptyempty($_SESSION['user_info'])){    //检查一
php自动登录,关于php设置自动登录
weixin_36392230的博客
03-10 256
今天在调试的时候,发现如果if($_SESSION['userId']=""&&$_COOKIE['userId']="")这样写系统会报notice错误,在我使用empty后发现不会报错了。一个例子留下来$username=trim($_POST['username']);$password=md5(trim($_POST['password']));$ref_url=$_GET...
PHP登录怎么写安全,PHP登录安全理念
weixin_39980711的博客
03-17 132
我有一个系统登录用户并验证他们在页面上登录的想法 .我意识到那里有很多系统,但我主要是好奇,如果我的想法是好的 . 我一直认为是重要的法(如密码加密等) . 我真的使用了应用程序安全性,希望得到一些反馈 .当用户登录时,他们的名称和密码是根据数据库进行验证的,密码是使用SHA256和随机生成的盐加密的,整个字符串(盐和加密密码都是128个字符 . 长) . 这是密码验证码:function Va...
php 登录验证 安全,简单的方法让你的后台登录更加安全(php中加session验证)
weixin_31486289的博客
04-09 457
本文将以Joomla!后台链接为例,讲解如何“修改”我们的后台链接,使其更加安全。原理:通过特定文件为后台入口注册session,否则失败退出。即直接使用原后台地址将无法登录后台。这样一来,入口文件名的多样性、可变更性将为你的后台登录提供更加安全的环境。一、入口文件:myadmin.php(文件名可随时更改)作用:注册session。源码如下:代码如下:...
使用 PHP 和 MySQL 的安全登录系统
allway2的博客
08-17 1354
我们将使用这些变量来确定用户是否登录,并将会话变量与我们检索到的 MySQL 数据库结果相关联。我们现在将创建一个表单,我们的用户可以使用它来输入他们的详细信息并提交它们以供处理。但是,我不建议删除散列函数,因为如果您的数据库以某种方式暴露,那么存储在帐户表中的所有密码也将暴露。上面的代码从数据库中检索额外的账户信息,和之前的主页一样,我们不需要连接到数据库,因为我们检索了存储在会话中的数据。最初,代码将启动会话,因为这使我们能够在服务器上保留帐户详细信息,稍后将用于记住登录用户。这是一个非常基本的主页。.
浅谈MD5加密算法中的加盐值(SALT)
热门推荐
blade2001的专栏
04-22 11万+
<br />我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。<br />  加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。<br />  这里的“佐料”被称作“Salt值”,这个值是由
使用php编写登入注册功能
05-19
好的,我可以为你提供一个简单的登入注册功能的PHP代码示例,如下所示: ...请注意,上面的代码只是一个简单的示例,实际使用时需要根据具体需求进行修改和完善,比如添加更多字段、设置登入状态等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值