用户登录验证思路php,【用户验证】这样的思路验证用户是否登录的有没有漏洞、有关问题...

最新推荐文章于 2021-03-25 12:03:54 发布
最新推荐文章于 2021-03-25 12:03:54 发布
阅读量181 收藏
点赞数
文章标签: 用户登录验证思路php

【用户验证】这样的思路验证用户是否登录的有没有漏洞、问题

本帖最后由 default7 于 2014-05-25 13:31:32 编辑

考虑的是服务器最大限度的减少SQL查询。

SESSION如果浏览器关闭就失效,所以改用COOKIE,写了如下方式来检测用户是否登录。

代码如下:

/**

* 初始化,用户COOKIE数据验证 by default7#zbphp.com

*/

public function authCheck()

{

if (cookie('uid')) {

$uid = cookie('uid');

$umd5 = cookie('umd5');

$udata = cookie('udata');

if (isUid($uid) && isMd5($umd5) && $udata && ($strDecode = authcode($udata, 'DECODE'))

&& md5($strDecode) == $umd5 && ($data = json_decode($strDecode)) && $data['uid'] == $uid) {

//每隔60s必须查询SQL检测一次

if ($this->time - $data['lastactive'] > self::INTERVAL) {

if (($rsUser = M('Member')->where("mid='$uid'")->getField('mid,uname,pwd,vip,viptime1,viptime2,lastactive,isfbd'))

&& strtolower($rsUser['uname']) == strtolower($data['uname'])

&& strtolower($rsUser['email']) == strtolower($data['email'])

&& md5($rsUser['pwd'].$data['salt']) == $data['upwd']

) {

if($rsUser['isfbd'] == 't'){

$this->error('您的账号已被封禁,请联系管理员!');

$this->resetUser();

return;

}

//更新最后在线时间

M('Member')->setField('lastactive',$this->time);

//重新生成加密密匙

$data['salt'] = uniqid();

$data['upwd'] = md5($rsUser['pwd'].$data['salt']);

}else{

$this->error('账号信息(邮箱或密码)发生变化,请重新登录!','',U('Member/Index/login?f='.__URL__));

$this->resetUser();

return;

}

}

$data['lastactive'] = $this->time;

$this->UserData = $data;

$strEncode = json_encode($data);

//配置COOKIE默认10天过期

cookie('uid',$data['uid']);

cookie('umd5',md5($strEncode));

cookie('udata',authcode($strEncode,'ENCODE'));

return;

}

$this->resetUser();

}

}

/**

* 注销SESSION 所有

*

* @return bool

*/

public function resetUser()

weixin_39685024
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安恒明御WEB应用防火墙 report.php任意用户登录漏洞(含批量验证poc)
weixin_43567873的博客
04-06 210
安恒明御WEB应用防火墙 report.php任意用户登录漏洞(含批量验证poc)
用户登录功能设计思路
qq_38779421的博客
10-15 2万+
实现安全用户登录功能浅析 1、用户登录注册 登录注册页面前端部分内容,关注的重点还是用户账号和密码在js代码里要做对应正则的匹配,这是验证的第一步,保证用户输入格式的正确性同时也从一方面减少用户向后台发送没必要的错误请求。前端向后端请求的方式使用POST 在后台接收前端传送的信息同样要经过验证正则的规则匹配步骤, 因为有可能一些人并不是通过合法的方式进行访问, 可以减少没必要的数据库查询。
PHP登录状态判定的思路
思维小刀
08-08 725
第一种 使用cookie 不使用session 每次新的方法都进行获取判定cookie值,合适的话就进行判定正确,不合适就判定未登录 第二种 使用cookie 和 session 把登录态保存至session里面,可以在每个页面都进行判断session的值 对比 使用cookie的话就要每次都计算与加密,因为cookie是本地的 不安全 使用session不用计算 只需要把...
用户认证思路及做法
什么都干的派森
11-19 3577
用户认证的简单思路基础要求进阶要求 基础要求 1.合法性,即 是他自己登录的账号(做法:token + https ,token验证可以确定操作源是该用户本人,https可以在很大程度上保证token在传输的过程中不被截获篡改,是目前较为安全的一种做法) 2.唯一性,即 不能对同一个账号重复登录(做法:服务器保存生成的token后再将其发送给用户,每次用户请求数据时,先验证token是否相同,然后...
php登录验证实现方法,php 用户登录验证码的实现方法
weixin_39861920的博客
03-25 1604
下面我们用Mysql数据库来存储用户的身份,我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性.首先,在MySql中建立一个存放用户信息的数据库,数据库名为XinXiKu,表名为user;表定义如下:create table user(ID INT(4) NOT NULL AUTO_INCREMENT,name V...
实现用户登录用户注册的思路
alexdedream的博客
09-17 1万+
正常的主页面应该有两个功能,一个是用户登录,一个是用户注册。 用户注册比较来说简单一点,主页面单击用户注册按钮,直接定位到注册页面,填写用户名和密码等等,单击提交,到后台action页面进行逻辑判断,查询这个用户名在数据库是否已经存在。 两种情况,如果不存在,直接保存,重定向到登录页面。 如果存在,直接抛异常,自定义异常信息用户已存在,在action中进行捕获,并且将错误信息放入到reqeu...
网站安全检测服务之PHP代码的后台绕过登录漏洞
网站安全专家
06-06 7810
针对于PHP代码的开发的网站,最近在给客户做网站安全检测的同时,大大小小的都会存在网站的后台管理页面被绕过并直接登录后台的漏洞,而且每个网站的后台被绕过的方式都不一样,根据SINE安全渗透测试多年来经验,来总结一下网站后台绕过的一些详情,以及该如何去防范后台被绕过,做好网站的安全部署。  后台验证码缺乏安全验证  比如在axublog程序中,网站后台存在一个验证管理员登录的一个函数chkadcoo...
php cookie 登录验证示例代码
10-30
PHP Cookie 登录验证是指通过在客户端设置 Cookie 来实现用户登录验证的机制。在这个示例代码中,我们可以看到如何使用 PHP 来实现 Cookie 登录验证。 Cookie 的概念 Cookie 是一种小型文本文件,存储在客户端的...
PHP判断用户是否已经登录(跳转到不同页面或者执行不同动作)
10-21
用户登录后,服务器会生成一个token作为用户认证的令牌,之后每次用户的请求中都会带有此token,以便服务器验证用户身份的合法性。 ```php if (!empty($_SESSION['token']) && !empty($str['AcctDetails']['token']...
php用户注册信息验证正则表达式
10-23
正则表达式在PHP中扮演着重要的角色,特别是在用户注册信息验证中,它能够提供强大且灵活的验证方式,确保用户提交的信息符合特定的格式要求。本文将深入探讨如何使用PHP和正则表达式来验证用户注册信息,包括用户名...
php中filter函数验证、过滤用户输入的数据
10-26
PHP中,数据过滤和验证是保障Web应用安全的重要手段。由于Web应用经常需要处理来自...在处理用户输入时,合理地运用filter_var()函数及其相关过滤器,可以大幅减少安全漏洞的风险,例如XSS攻击、SQL注入等常见问题
PHP验证登录用户名和密码
热门推荐
十年磨一剑,霜刃未曾试!
03-12 11万+
登录页面 login.html 负责收集用户填写的登录信息   <html> <head>用户登录</head> <form name="LoginForm" method="post" action="login.php" onSubmit="return InputCheck(this)"> &lt
Vue中获取token(登录)包含:axios拦截器/router路由守卫
l741938507的博客
09-19 2697
文章地址:https://www.cnblogs.com/chenwenhao/p/10466774.html
Web项目中的登录验证思路
wei
04-19 1万+
以前学习框架经常做登录页面的demo,输入正确的id+pwd就返回成功了。。可是这种模式无法阻止通过URL直接访问其他的页面,在一个非玩具系统中,控制未登录用户的页面访问权限是一个基本功能。从实现思路讲,验证一个用户的有效登录,大多采用的是登入时候向Session写一个User认证信息,然后在访问每个页面前来判断Session中是否有认证信息。if(session.get("User"
php实现注册登陆验证
面向对象的笔记
11-03 9253
欢迎界面很简单,直接放上代码 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns=&amp
前端学习(2075):计算属性的基本使用
歌谣的博客
08-27 408
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title&gt...
php验证sessionid,通过session_id验证身份的问题
weixin_39754915的博客
03-10 342
php代码账号密码验证成功:session('uid',100);$sid=session_id();$this->ajaxReturn(array("result"=>"1","sessionid"=>$sid));html页面会将session_id保存在cookie里面 名为sid$.cookie('sid', response.data.sessionid);验证php,...
Mnist数据集,用于人工智能相关基础模型的学习及编程练习
09-06
Mnist数据集,用于人工智能相关基础模型的学习及编程练习
水空两用无人机动力系统设计与研究.pdf
最新发布
09-06
水空两用无人机动力系统设计与研究.pdf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值