Praktische Fälle und Lösungen zur Verhinderung von PHP-Registrierungsangriffen

Praktische Fälle und Lösungen zur Verhinderung von PHP-Registrierungsangriffen

Einleitung:

Mit der rasanten Entwicklung des Internets werden Netzwerksicherheitsprobleme immer gravierender. Unter diesen sind Registrierungs-Anti-Swiping-Angriffe eine häufige Angriffsmethode. Angreifer verwenden automatisierte Skripte oder Schadprogramme, um eine große Anzahl von Konten zu registrieren, was die Serverressourcen stark beansprucht und die normale Website-Nutzung beeinträchtigt. In diesem Artikel wird ein praktischer Fall basierend auf PHP vorgestellt und entsprechende Verteidigungslösungen bereitgestellt.

Fallhintergrund:

Angenommen, wir haben eine Benutzerregistrierungsfunktion. Benutzer müssen Benutzernamen, Passwort, E-Mail-Adresse und andere Informationen eingeben, um sich zu registrieren. Nach Erhalt der vom Benutzer übermittelten Registrierungsinformationen schreibt das System die Benutzerinformationen über ein PHP-Skript in die Datenbank.

Der Angreifer verwendet automatisierte Programme oder Skripte, um eine große Anzahl von Registrierungsanfragen gleichzeitig an den Server zu senden und sofort eine große Anzahl bösartiger Konten zu registrieren. Diese Angriffsmethode führt zur Erschöpfung der Serverressourcen, normale Benutzer können sich nicht registrieren oder anmelden, was zu ernsthaften Problemen auf der Website führt.

Verteidigungslösung:

1. Verifizierungscode-Funktion hinzufügen

Verifizierungscode ist derzeit eines der am häufigsten verwendeten Mittel, um Roboterangriffe zu verhindern. Durch Hinzufügen einer Bestätigungscode-Funktion zur Benutzerregistrierungsseite können Benutzer aufgefordert werden, den Bestätigungscode im Bild einzugeben, um sicherzustellen, dass der Benutzer authentisch ist.

Codebeispiel:

<!-- 在注册页面的表单中添加验证码输入框 -->
<form action="register.php" method="post">
  <!-- 其他表单字段 -->
  <label for="captcha">验证码：</label>
  <input type="text" name="captcha" id="captcha" required>
  <img src="/static/imghw/default1.png"  data-src="captcha.php"  class="lazy" alt="验证码">
  <!-- 其他表单字段 -->
  <button type="submit">注册</button>
</form>

<!-- 生成验证码的captcha.php文件 -->
<?php
session_start();

// 生成随机验证码
$code = substr(md5(rand()), 0, 4);

// 将验证码存入SESSION中
$_SESSION['captcha'] = $code;

// 创建一个空白图片
$image = imagecreatetruecolor(80, 40);

// 设置颜色
$bgColor = imagecolorallocate($image, 255, 255, 255);
$textColor = imagecolorallocate($image, 0, 0, 0);

// 填充背景色
imagefill($image, 0, 0, $bgColor);

// 写入验证码
imagestring($image, 5, 20, 10, $code, $textColor);

// 输出图片
header('Content-type: image/jpeg');
imagejpeg($image);

// 销毁图片
imagedestroy($image);
?>

Im obigen Code müssen Sie zunächst ein Eingabefeld für den Bestätigungscode zum Formular auf der Registrierungsseite hinzufügen. Um die Registrierung abzuschließen, müssen Benutzer den Bestätigungscode korrekt eingeben. Gleichzeitig muss zur Generierung eines Verifizierungscode-Bildes eine captcha.php-Datei auf dem Server erstellt werden. Diese Datei generiert einen zufälligen Bestätigungscode und speichert ihn in der SESSION. Verwenden Sie dann die PHP-Funktion imagecreatetruecolor(), um ein leeres Bild zu erstellen, die Hintergrundfarbe und die Textfarbe festzulegen und den Bestätigungscode in das Bild zu schreiben. Abschließend wird das generierte Bestätigungscodebild über die Header-Funktion an den Browser ausgegeben. imagecreatetruecolor()函数创建一个空白图片，设置背景色和文字颜色，并将验证码写入图片中。最后，通过header函数将生成的验证码图片输出到浏览器中。

2. 添加IP和用户限制

通过限制同一IP或同一用户在一定时间内只能注册一次，可以有效减缓注册防刷攻击的影响。

代码示例：

<?php
session_start();

// 获取IP地址
$ip = $_SERVER['REMOTE_ADDR'];

// 获取用户ID或其他唯一标识符
$userId = isset($_SESSION['user_id']) ? $_SESSION['user_id'] : '';

// 设置时间间隔限制（单位：秒）
$timeLimit = 60;

// 检查用户是否已经在规定时间内注册过
if (checkRegistrationLimit($ip, $userId, $timeLimit)) {
  // 用户已经在规定时间内注册过，显示错误信息，禁止注册
  echo '您已经在规定时间内注册过了！';
  exit;
}

// 其他注册逻辑

// 完成注册后记录IP和用户信息
recordRegistrationInfo($ip, $userId);

// 其他后续操作

// 检查用户是否在规定时间内已经注册过
function checkRegistrationLimit($ip, $userId, $timeLimit) {
  // 在数据库或文件中记录用户注册时间
  // 判断是否在指定时间内已经注册过
  // 返回true或false
}

// 记录用户注册信息
function recordRegistrationInfo($ip, $userId) {
  // 在数据库或文件中记录用户IP和用户ID等信息
}
?>

在上述代码中，首先通过$_SERVER['REMOTE_ADDR']获取用户的IP地址，通过$_SESSION['user_id']获取用户的ID或其他唯一标识符。设置一个时间间隔限制，例如60秒。然后，通过checkRegistrationLimit()函数检查用户是否在规定时间内已经注册过。如果是，则显示错误信息，禁止注册；否则，执行其他注册逻辑，并在注册完成后使用recordRegistrationInfo()

Fügen Sie IP- und Benutzerbeschränkungen hinzu

Indem Sie die gleiche IP oder den gleichen Benutzer darauf beschränken, sich innerhalb eines bestimmten Zeitraums nur einmal zu registrieren, können die Auswirkungen von Registrierungs-Anti-Brushing-Angriffen effektiv abgeschwächt werden .

🎜Codebeispiel: 🎜rrreee🎜Im obigen Code erhalten Sie zunächst die IP-Adresse des Benutzers über $_SERVER['REMOTE_ADDR'] und übergeben $_SESSION['user_id'] Rufen Sie die Benutzer-ID oder eine andere eindeutige Kennung ab. Legen Sie ein Zeitintervalllimit fest, z. B. 60 Sekunden. Anschließend prüfen Sie mit der Funktion checkRegistrationLimit(), ob sich der Benutzer innerhalb der angegebenen Zeit registriert hat. Wenn dies der Fall ist, wird eine Fehlermeldung angezeigt und die Registrierung ist verboten; andernfalls wird eine andere Registrierungslogik ausgeführt und nach Abschluss der Registrierung wird die Funktion recordRegistrationInfo() verwendet, um die IP, die Benutzer-ID usw. des Benutzers aufzuzeichnen andere Informationen. 🎜🎜Fazit: 🎜🎜Durch das Hinzufügen von Verifizierungscodefunktionen, IP- und Benutzerbeschränkungen usw. können Anti-Brushing-Angriffe bei der PHP-Registrierung wirksam verhindert werden. In der tatsächlichen Entwicklung können entsprechend den jeweiligen Umständen entsprechende Anpassungen vorgenommen und weitere Sicherheitsmaßnahmen hinzugefügt werden, um die Sicherheit der Website zu verbessern. 🎜

Das obige ist der detaillierte Inhalt vonPraktische Fälle und Lösungen zur Verhinderung von PHP-Registrierungsangriffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!