网站防止非法用户登录的session方式实现

最新推荐文章于 2023-09-19 13:26:47 发布
最新推荐文章于 2023-09-19 13:26:47 发布
阅读量7.1k 收藏 9
点赞数
分类专栏: 服务器环境 文章标签: 界面 浏览器 安全 数据库 session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhulike2011/article/details/12760473
版权
网站都有一个防止非法用户直接登录的session方式被十分普遍地采用,并且可以将用户的登录信息保存一段时间,session方式是一种比较方便安全的登录检查方式,由于session是存放在服务器端的,所以就基本不用担心登录信息被本地用户获得,当然类似于密码之类的比较重要的信息千万不要用session保存,比较session数据其实也和cookie一样,只不过它是放在服务器端的而已。关于session有必要多讲一下,这个东西有点类似于cookie,但又有点不同,不同之处在于session是在服务器端实现,不受客户端浏览器影响,当然关闭cookie也会导致session的功能失常,但这是可以通过URL重写来克服的,即在URL末尾写入session的cookie默认表示符,php是PHPSESSID,链接写成如下形式:
   http;//localhost/session.php?PHPSESSID=diysessionname
然后session_start()启动session,就会自动根据这个传过来的值作为session文件名,自己设置的话就要用到

session_id()函数,这个函数是专门用来设定session文件保存方式的文件名,不过针对大型网站,往往有多台服务器,针对同一台客户机浏览器session是不同的,这时就会用到多服务器共享session方式,这种方式就要比文件保存session方式更高级一点,采用数据库保存,需要自己重写session的处理方式。适合有一定的php基础的人用。

我写了一个用于验证用户是否登录的函数,当用户没有登录直接打开某个页面时就会直接显示未登录状态,而从登录页面跳转到新页面,在新页面就会登录状态,采用session保存登录状态,直到浏览器关闭。闲话不多说了,先来看一下我的验证用户登录状态的函数文件,主要是根据用户提交的数据和页面来判断用户是不是直接点击到管理页面还没有经过登录页面,涉及数据库的操作全部封装在SQLHelp.class.php文件中了,这里用到是检测用户名是否存在和密码是否正确这两个事项。代码如下:

<?php 
	require_once 'SQLHelper.class.php';
	function checkValidat($user,$pwd,$idValue=3){
		if(isset($_GET['id'])){
			$idValue=$_GET['id'];
			if($idValue==1){
				session_destroy();
				header("location:session.php");
			}
		}
		session_start();
		if(!empty($_SESSION['loginuser'])){
			$tempName=$_SESSION['loginuser'];
			if(time()-$tempName[1]>3600){
				unset($_SESSION['loginuser']);//与上次登录时间间隔太久便删除掉记录。
			}
			$sql= new SQLHelper();
			$nicky=$sql->getNicky($tempName[0]);
			if($idValue!=2){//跳过登录页面直接查看的处理
				if($sql->checkUser($tempName[0])){
					echo "登录用户昵称:".$nicky."上次登录时间:".date("H-i-s",$tempName[1]).
					"<a href='session.php?clr=1'>安全退出</a>";
				}
				else {
					echo "未登录!<a href='session.php'>返回登录</a>";
					return false;
				}		
			}
			elseif($idValue==2){
				if($sql->checkUser($user)==0){
					header("location:session.php?error=the user is not exist!");
				}
				$tempPwd=$sql->getPassword($user);
				if($tempPwd!=md5($pwd)){
					header("location:session.php?error=the password is error");
				}
				
				echo "登录用户昵称:".$nicky."上次登录时间:".date("H-i-s",$tempName[1]).
				"<a href='session.php?clr=1'>安全退出</a>";
				//保存用户登录信息
				$loginInfor=array($user,time());
				$_SESSION['loginuser'] = $loginInfor;
				return true;
			}	
		}
		else{
			if($idValue==2){
				$sql= new SQLHelper();
				if($sql->checkUser($user)==0){
					header("location:session.php?error=the user is not exist");
				}
				$tempPwd=$sql->getPassword($user);
				if($tempPwd!=md5($pwd)){
					header("location:session.php?error=the password is error");
				}
				$nicky=$sql->getNicky($user);
				echo "用户昵称:".$nicky.
				"<a href='mao.php?id=1'>安全退出</a>";
				//保存用户登录信息
				$loginInfor=array($user,time());
				$_SESSION['loginuser'] = $loginInfor;
				return true;
			}
			echo "未登录!<a href='session.php'>返回登录</a>";
			return false;		
		}
		
	}
	
?>
以上就是session方式的登录状态检测了!把上面这个文件用require_once 引入任何文件然后在指定地方调用这个函数,就会在指定地方显示登录状态信息了。当然还要写一部分注册页面,要不然怎么登录,当然也可以事先在数据库里面建立好相关的登录信息表,我的就是事先建立了一个表:含有用户名、昵称和密码三个字段,注意密码采用MD5加密后保存,由于MD5产生的字符串长度很长,务必用int类型设定密码字段,我的用varchar(20),结果打入六个字符就无法输入了,真是悲惨。

以下是登录界面代码:

<!Doctype html><html xmlns=http://www.w3.org/1999/xhtml>
<head>
<meta http-equiv=Content-Type content="text/html;charset=utf-8">
<meta http-equiv=X-UA-Compatible content=IE=EmulateIE7>
<title>www.like.com </title>
<style type="text/css">
<!--
body{
	font-size:20px;
	margin:auto;
	width:400px;
}
form{
	margin:25px 0px;
	border:solid green 3px;
	padding:10px;
	background:gray;
	overflow:hidden;
}
span{float:left;
	display:block-inline;width:90px;padding:5px 0 1px 80px; 
}
-->
</style>
</head>
<body>
<?php //登录页面	
	if(!empty($_COOKIE['user'])) $str = $_COOKIE['user'];
	else $str = "";
	if(isset($_GET['error']))
		echo $_GET['error'];
	if(isset($_GET['clr'])){
		session_start();
		session_destroy();
	}
?>
<form action="mao.php?id=2" method="post">
用户名: <input name="user" type="text" size=30 <?php echo "value='$str'"; ?> /><br /><br />
密码:   <input name="pwd" type="text" size=30 /><br />
是否要保存用户名:<input name="check" type="checkbox" /><br/>
<span><input type="submit" value="登录" /></span><span><input type="reset"/></span>
</form><br /><br/>
<p><?php 
	if(isset($_GET['id']))
		echo $_GET['id'];
?></p>
<form action="regester.php" method="post">
用户名: <input name="user" type="text" size=30 /><br />
<br/>
昵称:   <input type="text" name="nicky" /><br/>
密码:   <input name="pwd" type="text" size=30 /><br />
<span><input type="submit" value="注册" /></span><span><input type="reset"/></span>
</form>
<p>
<?php 
	if(isset($_GET['delete'])){
		if(isset($_POST['deleteUser'])){
			$viewer=$_POST['deleteUser'];
			$viewer=trim($viewer);
		}
		else {
			$viewer="";
		}
		require_once 'SQLHelper.class.php';
		$sql = new SQLHelper();
		$sql -> deleteUser($viewer);
	}
?>
</p>
<form action="session.php?delete=1" method="post">
用户名: <input type="text" name="deleteUser" size=30 /><br/>
<span><input type="submit" value="删除用户" /></span><span><input type="reset"/></span>
</form>

就这么多了,花了三天时间,主要的难点有以下几个,一、各种对数据库的操作。二、对用户登录的用户名、密码是如何检测,事先要进行那些检查,例如空字符串等等。三、用户直接在地址栏输入某个页面,如何判断这种情况,并决定是否让其跳转到登录页面,比如注册成功页面就必须跳转到注册页面,要不然就乱套了。




ricky_zhu_li_ke
关注
专栏目录
(15)session原理,应用(防止用户非法登录、验证码、关闭浏览器再开启浏览器还能访问之前的session
FixedStar 的博客
09-11 2526
当用户打开浏览器,访问某个网站时操作session时,服务器就会在服务器的内存为该浏览器分一个session对象,该session对象呗这个浏览器独占。 这个session对象也可以看做是一个容器,session对象默认存在时间为30min,也可以修改。 A:服务器分配给A客户端的session对象……如何理解session: ①session可以看做一个容器类似于HashMap,有两列,
php中使用session防止用户非法登录后台的方法
10-24
综上所述,PHP中使用session是一种简单有效的方法来防止非法用户登录后台,通过session机制,我们可以有效地管理和控制用户的会话状态,从而保护网站后台的访问安全。上述提供的代码示例提供了基本的实现方法,适用...
php非法登入怎么写,php中使用session防止用户非法登录后台的方法
weixin_30679547的博客
03-19 186
这篇文章主要介绍了php中使用session防止用户非法登录后台的方法,详细分析了session防止用户非法登录后台的原理与相关实现技巧,需要的朋友可以参考下本文实例讲述了php中使用session防止用户非法登录后台的方法。分享给大家供大家参考。具体如下:一般来说,我们登录网站后台时,服务器会把登录信息保存到session文件里,并通过读取session文件来判断是否可以进行后台操作。以下面为例...
第119讲 session③-购物车 cookie 禁用后 如何使用session session防用户非法登陆
骑猪也能看夕阳
04-29 931
如上demo示例代码 视频上代码是这么撸的 注意 session 操作过程中 如果禁用cookie 那么 如上代码 购买一次生成一次session 也就是说 一个人购买的 几本书分别存在不同的session里边 这就很逆天了。。会取不出来的。想啊 每次生成一个session 如果不出意外应该是一本都看不到,因为浏览器根本就没有携带cookie没有携带cookie就意味着没有session_i...
session 生命周期和经典案例-防止非法进入管理页面
最新发布
m0_71777195的博客
09-19 229
如果没有调用 setMaxInactiveInterval() 来指定 Session 的生命时长,Tomcat 会以 Session默认时长为准,Session 默认的超时为 30 分钟, 可以在 tomcat 的 web.xml 设置。public void setMaxInactiveInterval(int interval) 设置 Session 的超时时间(以秒为单位),超过指定的时长,Session 就会被销毁。值为正数的时候,设定 Session 的超时时长。
通过session实现非登录用户的拦截(亲测)
weixin_45768768的博客
04-28 865
实现非登录用户的拦截 近期在做网页登录页面时总想到非登录用户直接访问我登陆后要跳转的页面是不是太不安全了,所以我也查了很多的资料,大部分是filter拦截以及web.xml的设置,对新手我觉得非常不友好,但是我最后用session实现了,在此我分享给大家 首先通俗的说一下什么是sessionSession就是记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务...
简单的方法让你的后台登录更加安全(php中加session验证)
10-27
如果没有,系统将输出错误信息并退出,防止非法访问。如果session验证成功,那么我们可以继续使用这个session,再次设置`$_SESSION['admin_user']`为"Y",并关闭session。 通过这样的设置,后台登录地址不再是固定...
php+MySQL实现登录时验证登录名和密码是否正确
10-22
MySQL是一种流行的开源关系型数据库管理系统(RDBMS),用于存储大量数据,并通过SQL语言与其他系统进行交互。将PHP和MySQL结合使用,可以创建动态网站、处理...通过这种方式,可以确保网站安全性和用户的登录体验。
httpsession实现验证码登录小实例
01-22
验证码(CAPTCHA)是一种防止恶意机器人或自动化程序非法访问网站安全机制,它要求用户输入图片上显示的一组随机字符。这个小实例将帮助我们理解如何在实际应用中结合Java、session以及验证码技术。 首先,我们...
Session的使用
骑着上帝去环游
10-23 108
1,网上商城中的购物车 2,保存登录用户的信息 3,将某些数据放入到Session中,供同一个用户的各个页面使用 4,防止用户非法登录到某个页面   (1)LoginCl.java package com.dtg.controller; import java.io.IOException; import java.util.ArrayList; import jav...
tp框架(thinkPHP)实现三次登陆密码错误之后锁定账号功能示例
12-30
本文实例讲述了tp框架(thinkPHP)实现三次登陆密码错误之后锁定账号功能。分享给大家供大家参考,具体如下: 数据库中的表需要有控制数据的条数name,pwd,number 每当你输入错误的密码时候,数据库中的number-1,等于0时则锁定 public function login_do(){ //账号 $username=$_POST['username']; //密码 $pwd=$_POST['pwd']; $user=M('表名'); $list=$user->where(username='$username')->find
JavaWeb学习JSP状态管理session--session实现记住密码功能
wenjiusui8083的博客
12-26 702
使用session实现记住密码功能 session在客户端的对象存储, 1.项目结构 2.login.jsp <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" import="java.net.*"%>//注意此处引入的包用来使用下面的编码解码
20160405servlet学习笔记session技术防止非法访问以及session生存时间
GZL的博客
04-05 983
1.session是存放在服务器运存中的,也就是说tomcat重启后session会丢失,可以通过配置tomcat中conf文件夹下的content.xml文件实现session的持久化. 2.session有效期可以在tomcat/conf/web.xml中配置全局的session有效期,当然也可以在webapp中的WEB-INF中的web.xml文件配置单独webapp的session有效期
PHP防止非法访问
Ai_Xiao_De_Gou的博客
11-15 927
在用户访问页面时,不一定按照正常的规则来访问,而是进行一些非法访问,为此我们需要禁止非法访问。 我学会了两种禁止非法访问的方法↓↓↓ 1.empty if(empty($_POST)){ die('非法访问'); } 判断如果从HTML文件接收信息的$_POST数组是空数组,则进入执行体,die停止脚本运行并输出“非法访问”。 2.isset if(!isset(...
如何防止session伪造攻击
enchanterblue的专栏
05-02 1700
如何防止Session伪造攻击  Session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击.任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSION伪造攻击...
在flask中使用session保存登录状态,以及拦截未登录请求
热门推荐
mtb的博客
11-20 1万+
前端请求form: 前端提交时,后端接收参数,可以把登录数据保存在session中: @user.route('/add',methods=['GET']) def add(): username=request.values.get('username'); session['username']=username return
关于sessionid的一些问题
hw1287789687的专栏
12-12 453
最近在做项目的过程中遇到了一个session id相关的问题,场景是这样的: 服务器端向客户端提供了一个登录接口,有用户名,密码,还有验证码。验证码实际上是一个JSP页面,代码如下: &lt;%@page import="com.kunlunsoft.jn.action.login.LoginVerifyAction"%&gt; &lt;%@page import="com.kunluns...
分布式下session认证出现的问题与使用spring session解决
关注菜菜的后端私房菜,获取更多技术干货~
07-15 656
分布式下session认证存在的问题 session认证: 客户端在服务端登录认证后,服务端自己保存用户信息,并把session_id放到客户端的cookie中,下次客户端带着cookie访问服务端就可以直接访问 这种session认证在分布式下会存在问题 无法访问其他相同模块的集群服务器 因为只在一个服务端上保存信息,其他相同的集群服务器没保存 无法访问其他模块的服务器 因为其他模块的服务器上未保存信息,所以无法访问 解决方案 session复制 只需要改tomcat配置文件 占服务
Java Session验证码实现与代码详解
"Java Session验证码实现的详细步骤与...这个系统能够有效地防止自动化的登录尝试,增加了网站安全性。在实际应用中,还可以根据需求增加更多的功能,如时间限制、滑动验证码、短信验证码等,以进一步提高安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值