php管理用户名和密码,如何去管理php的用户名和密码(二)

最新推荐文章于 2024-06-04 10:26:50 发布
最新推荐文章于 2024-06-04 10:26:50 发布
阅读量335 收藏
点赞数
文章标签: php管理用户名和密码

操练开始

在我们做出测试代码之前,首先要创建一个用户数据表。运行如下语句:

create database myapp;

use myapp;

create table users (user varchar(60), pass varchar(60));

create database myapp;

use myapp;

create table users (user varchar(60), pass varchar(60));

其中user用来储存用户名,pass用来储存密码的hash值。目前,phpass生成的密码hash值最大长度为60。

创建新用户

首先,我们从phpass项目网站把PasswordHash.php下载到网站目录中,并设置能让php加载的权限(Unix系统下一般为600或者644)。然后在网站目录中创建两个文件:user-man.html (644权限), and user-man.php (权限同asswordHash.php)。

下面,把下面的内容写在user-man.html中:

用户名:

密码:

用户名:

密码:

这个文件获取用户名和密码,然后提交到user-man.php。下面是user-man.php的代码:

header('Content-Type: text/plain');

// 本例只是简单的输出文本的hash值,所以开头要声明下,不让浏览器当作html解析。

require '../PasswordHash.php';

// Base-2 logarithm of the iteration count used for password stretching

$hash_cost_log2 = 8;

// Do we require the hashes to be portable to older systems (less secure)?

$hash_portable = FALSE;

//在实际应用中,上面两行最好写在配置文件中,比如config.inc.php

//下面开始获取提交的用户名和密码,实际应用中需要验证有效性,不再赘述。

$user = $_POST['user'];

$pass = $_POST['pass'];

//下面开始计算密码hash值

$hasher = new PasswordHash($hash_cost_log2, $hash_portable);

$hash = $hasher->HashPassword($pass);

if (strlen($hash) < 20)//这里用的CRYPT_EXT_DES方法,其它加密算法得到结果会更长。

fail('Failed to hash new password');

unset($hasher);

function fail($pub, $pvt = '')

{

$msg = $pub;

if ($pvt !== '')

$msg .= ": $pvt";

exit("An error occurred ($msg).\n");

}

//下面开始把用户信息存入到数据库中

$db_host = 'localhost';

$db_port = 3306;

$db_user = ‘dbuser’;

$db_pass = 'dbpass';

$db_name = 'dbname';

//数据库信息也最好存储在配置文件中。下面开始连接数据库,并注意弹出失败信息。

$db = new mysqli($db_host, $db_user, $db_pass, $db_name, $db_port);

if (mysqli_connect_errno())

fail('MySQL connect', mysqli_connect_error());

//下面用预备语句插入用户信息

($stmt = $db->prepare('insert into users (user, pass) values (?, ?)'))

|| fail('MySQL prepare', $db->error);

$stmt->bind_param('ss', $user, $hash)

|| fail('MySQL bind_param', $db->error);

$stmt->execute()

|| fail('MySQL execute', $db->error);

//最后数据库连接

$stmt->close();

$db->close();

header('Content-Type: text/plain');

// 本例只是简单的输出文本的hash值,所以开头要声明下,不让浏览器当作html解析。

require '../PasswordHash.php';

// Base-2 logarithm of the iteration count used for password stretching

$hash_cost_log2 = 8;

// Do we require the hashes to be portable to older systems (less secure)?

$hash_portable = FALSE;

//在实际应用中,上面两行最好写在配置文件中,比如config.inc.php

//下面开始获取提交的用户名和密码,实际应用中需要验证有效性,不再赘述。

$user = $_POST['user'];

$pass = $_POST['pass'];

//下面开始计算密码hash值

$hasher = new PasswordHash($hash_cost_log2, $hash_portable);

$hash = $hasher->HashPassword($pass);

if (strlen($hash) < 20)//这里用的CRYPT_EXT_DES方法,其它加密算法得到结果会更长。

fail('Failed to hash new password');

unset($hasher);

function fail($pub, $pvt = '')

{

$msg = $pub;

if ($pvt !== '')

$msg .= ": $pvt";

exit("An error occurred ($msg).\n");

}

//下面开始把用户信息存入到数据库中

$db_host = 'localhost';

$db_port = 3306;

$db_user = ‘dbuser’;

$db_pass = 'dbpass';

$db_name = 'dbname';

//数据库信息也最好存储在配置文件中。下面开始连接数据库,并注意弹出失败信息。

$db = new mysqli($db_host, $db_user, $db_pass, $db_name, $db_port);

if (mysqli_connect_errno())

fail('MySQL connect', mysqli_connect_error());

//下面用预备语句插入用户信息

($stmt = $db->prepare('insert into users (user, pass) values (?, ?)'))

|| fail('MySQL prepare', $db->error);

$stmt->bind_param('ss', $user, $hash)

|| fail('MySQL bind_param', $db->error);

$stmt->execute()

|| fail('MySQL execute', $db->error);

//最后数据库连接

$stmt->close();

$db->close();

好了,把左右文件保存好,放在web server下测试下。输入用户名和密码,提交后,到数据库中看下:

mysql> select * from users;

+——–+————————————————————–+

| user   |pass                                                         |

+——–+————————————————————–+

| myuser | $3b$08$Lg5XF1Tr.X5TGyfb43vBBeEFZm4GTRQhKQ6SY6emkcnhAGT8KfxFS |

+——–+————————————————————–+

1 row in set (0.00 sec)

至此,用户插入成功。

用户已经存在

下面,我们用上面的方法插入一个相同的用户,同时,用相同的密码。然后查看数据库:

mysql> select * from users;

+——–+————————————————————–+

| user   |pass                                                         |

+——–+————————————————————–+

| myuser | $3b$08$Lg5XF1Tr.X5TGyfb43vBBeEFZm4GTRQhKQ6SY6emkcnhAGT8KfxFS |

| myuser | $1a$08$7lM07FwQMm5/C8G/urT4z..MudfsS227e8oUEu6T51bNWk/RGb/qe |

+——–+————————————————————–+

2 rows in set (0.00 sec)

我们得到了用户名相同的两条记录,但是密码hash值不相同,虽然我们使用了相同的密码。

为了解决这个问题,我们可以在执行插入前先执行一个select语句,查询下该用户名是否已经存在了。但是,这对程序的效率来说不是最优化的。好的做法是让为用户名建立唯一索引,禁止用户用户名的出现:

DROP TABLE users;

CREATE TABLE users (user varchar(60), pass varchar(60), UNIQUE (user));

DROP TABLE users;

CREATE TABLE users (user varchar(60), pass varchar(60), UNIQUE (user));

当我们插入相同的用户名时,程序就会报错:

An error occurred (MySQL execute: Duplicate entry ‘myuser’ for key 1).

如此,系统效率会得到提高。虽然,这是纯技术性的错误提示, 我们将稍侯予以解决。

避免泄漏过多服务器细节

上面出现的报错多是mysql服务器报错,可能会泄漏一些敏感信息,如数据库名,数据库地址,甚至数据表文件的存储地址都会被显示,这是很危险的。因此,这些信息我们并不希望被显示,除非我们就是用户,或者是在调试。如此,我们可以修改fail()函数,把错误信息显示为用户可见的内容。

// 是否为debug模式,如果是,会显示敏感信息。

$debug = TRUE;

function fail($pub, $pvt = '')

{

global $debug;

$msg = $pub;

if ($debug && $pvt !== '')

$msg .= ": $pvt";

/* $pvt 可能会含有敏感信息,比如需要隐藏掉,或者需要编码才能被html正确显示的内容。*/

exit("An error occurred ($msg).\n");

}

// 是否为debug模式,如果是,会显示敏感信息。

$debug = TRUE;

function fail($pub, $pvt = '')

{

global $debug;

$msg = $pub;

if ($debug && $pvt !== '')

$msg .= ": $pvt";

/* $pvt 可能会含有敏感信息,比如需要隐藏掉,或者需要编码才能被html正确显示的内容。*/

exit("An error occurred ($msg).\n");

}

需要注意的,不管是apache还是php,默认情况下是会显示所有调试信息的。所以,作为一个程序员,我们的职责是防止这些信息被泄漏,就跟我们设置了debug模式一样,这对程序员或者服务器运维人员来说至关重要。默认情况下,要把$debug值设置为false,但我们的例子作为测试来说,将继续使用true.

如何区分mysql报错

我们需要去辨别mysql报错,以确定用户是否已经存在于数据库中,如果已经存在,需要输出一个友好的错误提示。因为当我们插入用户的时候,不只是会有一种错误,当出现其它错误的时候,我们不能傻不愣瞪的提示相同的错误(用户已经存在)吧?

一种解决方法是在出现报错后执行一个针对该用户名的select查询,如果能够返回一行数据,说明用户确实一定存在了。实现方法如下:

if (!$stmt->execute()) {

$save_error = $db->error;

$stmt->close();

// 用户已经存在了?

($stmt = $db->prepare('select user from users where user=?'))

|| fail('MySQL prepare', $db->error);

$stmt->bind_param('s', $user)

|| fail('MySQL bind_param', $db->error);

$stmt->execute()

|| fail('MySQL execute', $db->error);

$stmt->store_result()

|| fail('MySQL store_result', $db->error);

if ($stmt->num_rows === 1)

fail('This username is already taken');

else

fail('MySQL execute', $save_error);

}

if (!$stmt->execute()) {

$save_error = $db->error;

$stmt->close();

// 用户已经存在了?

($stmt = $db->prepare('select user from users where user=?'))

|| fail('MySQL prepare', $db->error);

$stmt->bind_param('s', $user)

|| fail('MySQL bind_param', $db->error);

$stmt->execute()

|| fail('MySQL execute', $db->error);

$stmt->store_result()

|| fail('MySQL store_result', $db->error);

if ($stmt->num_rows === 1)

fail('This username is already taken');

else

fail('MySQL execute', $save_error);

}

这个方法确实奏效,而且也很可靠。但是,我们还有更简捷的实现方法,那就是使用mysql错误码:

if (!$stmt->execute()) {

if ($db->errno === 1062 /* ER_DUP_ENTRY */)

fail('额滴神,该用户已经存在了');

else

fail('MySQL execute', $db->error);

}

if (!$stmt->execute()) {

if ($db->errno === 1062 /* ER_DUP_ENTRY */)

fail('额滴神,该用户已经存在了');

else

fail('MySQL execute', $db->error);

}

在接下来的例子中,我们将使用这种简单的方法做演示。

魔法引号的处理

Magic quotes 开启后会自动转义输入的数据。其中,所有的单引号(’)、双引号(”)、反斜线、和 NULL 字符都会被转义(增加个反斜线),其实这操作本质上调用的是 addslashes 函数。

这对程序员来说固然是一个很好的事情,省却了我们过滤的麻烦。但是,当用户输入用户名和密码中含有这些字符时,我们从$_POST中获取到的内容是不是也会被addslashes了呢?

这就需要我们去做判断,示例如下:

function get_post_var($var)

{

$val = $_POST[$var];

if (get_magic_quotes_gpc())

$val = stripslashes($val);

return $val;

}

function get_post_var($var)

{

$val = $_POST[$var];

if (get_magic_quotes_gpc())

$val = stripslashes($val);

return $val;

}

接下来,我们将用这个函数取post过来的数据,而不是单纯的$_POST数组。

(待续)

weixin_39831991
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php使用cookie实现记住用户名密码实现代码
10-24
主要介绍了php使用cookie实现记住用户名密码实现代码,本文直接给出实现代码,需要的朋友可以参考下
php怎么查询当前用户名密码,电脑的用户名密码怎么查看
weixin_39828331的博客
03-11 296
电脑的用户名密码怎么查看?Windows系统只能查看账户名称,不能查看账户密码。账户查看方法:1.打开控制面板,选择用户账户和家庭安全。2.点击用户账户。3.查看账户名称(见管理员上方文本)。拓展资料:电脑用户名: 就是电脑使用者的用户账户名,其权限分为: 超级管理员,管理员,标准用户,来宾用户, 超级管理员的用户名系统默认为Administrator。管理员用户和标准用户可以电脑使用者自己创建...
php 用户名 密码 在哪个文件夹,密码保护文件夹/页面的最佳方法是使用没有数据库或用户名php...
weixin_29985807的博客
03-10 324
你可以使用这样的东西://access.php//put sha1() encrypted password here - example is 'hello'$password = 'aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d';session_start();if (!isset($_SESSION['loggedIn'])) {$_SESSION['lo...
PHP实现用户认证与权限管理
最新发布
sa10027的博客
06-04 532
PHP中实现用户认证与权限管理通常涉及多个步骤,包括用户注册、登录、会话管理以及权限检查。以下是一个简化的示例来说明这个过程,但请注意,实际应用中可能需要更多的安全性和功能。
php客户账号密码存哪,phpmyadmin密码保存在哪-PHP问题
weixin_39631755的博客
03-20 875
phpmyadmin明码保留正在哪phpmyadmin自身不明码,明码实际上是正在数据库mysql外面,能够经过mysql从新设置root明码。修正phpmyadmin root明码一、起首用root账号登岸phpmyadmin,而后点击左侧进入mysql数据库,正在顶部点击“mysql”进入sql输出界面。输出如下饬令:update user set password=password('123...
php mysql检查密码_php – 检查数据库上的用户名密码(包含脚本)
weixin_39660931的博客
01-28 596
我发布了我的问题here,在我编辑帖子之前它已经关闭,因为这不是一个真正的问题!我有一个这样的登录表单:Password Checking ScriptPlease LoginUser Name: Password: 如您所见,此表单通过check_user-pass.php对用户进行身份验证.它在我的数据库中查找这些凭据;如果它们存在,则返回OK,否则返回NO值.所以我的问题是:我应该在chec...
user_name php,用php实现登录模块,用户名user_name,密码user_pass,用户账号信息须存储到tb_admin表。求高手指点谢谢!...
weixin_35523259的博客
03-19 236
php实现登录模块,用户名user_name,密码user_pass,用户账号信息须存储到tb_admin表。求高手指点谢谢!关注:81答案:3手机版解决时间 2021-02-15 07:46提问者梦殇♀轻尘2021-02-14 21:07密码用md5加密最佳答案二级知识专家試著忘記壹切2021-02-14 22:38就是只是实现登录,然后用户信息保存到表中?一般情况是先进行注册,注册信...
PHP生成随机用户名密码的实现代码
10-27
使用PHP生成随机数可以应用在许多地方,比如可以设计程序的随机密码、模拟掷骰子游戏的应用程序、石头剪子布游戏应用程序等等
php用户名密码加密更安全的方法
10-16
在本篇文章里小编给大家整理了关于php用户名密码加密更安全的方法和相关知识点,有兴趣的朋友们参考下。
php 超级管理员,WordPress超级管理员功能,超权限管理用户,可修改登录名
weixin_30000523的博客
03-10 1386
wordpress本身的用户管理是以博客用户为导向的,因此其后台修改用户信息仅限于博客用户的角度可以修改的信息,而管理员虽然可以修改其他用户信息,但有一个问题是不能修改用户名和昵称(这里的昵称和显示名不同,一般情况下WP的昵称为登录名,容易暴露用户登录信息,造成用户信息安全,特别是管理员的信息。)本程序即为解决此问题而设计。一、程序功能: ↑管理员登录后台后增加超级管理员菜单,在菜单功能中可以修改...
后台userlist.php,后台用户管理管理员登录后管理会员)
weixin_39841136的博客
03-17 1783
【预备知识】一、PHP访问MySQL数据库1、连接到MySQL数据库$conn=mysql_connect("localhost","root","")ordie("数据库服务器连接失败");2、选择数据库mysql_select_db("db_shop",$conn)ordie("数据库访问错误");3、执行SQL查询语句mysql_query("setnamesgb2312");...
php实现人员权限管理(管理员页面)
weixin_30596343的博客
05-24 1614
控制人员权限用的最多的应该是OA办公自动化系统和像ERP,CRM,CMS这样的管理系统,就是通过控制用户的权限来控制其拥有的角色和功能,比如管理员可以拥有所有权限和功能,前台只能拥有登记和通报信息等。 一般标准的权限管理都会有5张数据表来控制,形成一个W型的连接关系,如下 看看表的结构 1.用户表2.用户角色对应表 3.角色表 4.角色功能对应表 5.功能表        ...
php管理用户名密码,如何去管理php用户名密码(三)
weixin_34637293的博客
03-09 179
用户传入数据的过滤我们不能紧紧依靠mysql的过滤的机制,而需要对用户输入的变量进行非法字符过滤,防止DoS攻击和sql注入。$user = get_post_var('user');if(!preg_match('/^[a-zA-Z0-9_]{1,60}$/', $user))fail('用户名不合法');$pass = get_post_var('pass');/* 好歹我们也应该节省点CPU...
php连接数据库的用户名,php 连接数据库 验证用户名密码
weixin_32124135的博客
04-06 449
如果要跳转页面,那么form上要定义action跳转到相关页面,同时提交按钮的type要为submit,如下:不跳转用ajax刷新的代码如下:html代码:用户注册用户名密码: JS代码:function f1(){//创建xmlHttp对象var xmlHttp;if(window.ActiveXObject){xmlHttp=new ActiveXObject("Microsoft.XMLH...
php接收文件 用户名密码,PHP 生成 .htpasswd 文件的用户名密码
weixin_39929918的博客
03-24 101
.htpasswd 主要是 apache 使用的基于文件的用户名密码的存储
php用户名登录名_PHP验证登录用户名密码
weixin_39621178的博客
12-22 676
PHP验证登录用户名密码登录页面login.html负责收集用户填写的登录信息用户登录name="LoginForm"method="post"action="login.php"onSubmit="returnInputCheck(this)">用户名:密码:确定"class="left"/>登录处理login.php负责处理用户登录与退出动作。//登录if(!isset($_...
php 获取用户名,如何在php中获取会话ID或用户名
weixin_35741494的博客
03-10 1275
我有一个用户可以登录的网站.我试过:当用户登录时,我将其会话设置为userlogin,但不会显示其用户名.This is the tutorial I used解决方法:所以设置它://Fetch the username from the database//The $login and $password I use here are examples. You should substitu...
php怎么查询当前用户名密码,php怎么查询当前用户名
weixin_31201737的博客
03-11 660
一般用会话(SESSION)来判断是否登录,以及登录用户名等信息。 (推荐学习:PHP视频教程)//登录页面session_start();if($_POST['user']==$user && $_POST['pwd']=$pwd){//如果登录成功,生成对应的会话值。$_SESSION['logined']=1; //判断是否已经登录的依据。$_SESSION['user...
php如何数据库配置文件,php数据库配置文件一般做法分享
weixin_39673947的博客
03-22 1620
php数据库配置文件一般做法分享config.php文件:复制代码 代码如下:$db_name="test";$db_username="root";global $db_password;?>数据库操作类(调用配置文件)db.fun.php:复制代码 代码如下:require("config/config.php");class db{function fun(){global $db_u...
php启用会话保存用户名密码
06-02
要在PHP中启用会话保存用户名密码,可以使用以下步骤: 1. 开启会话:在PHP页面的顶部添加 `session_start();` 代码,以启动会话。 2. 设置会话变量:将用户名密码存储为会话变量,以便在整个会话期间使用。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值