phpユーザーがログインする際に注意すべきことは何ですか?

php ユーザーはログイン時に何に注意する必要がありますか?

#パスワードは MD5 (パスワード文字列) を使用して暗号化する必要があります。

テーブルフィールドの公開を避けるために、ログインフォームの名前はデータベースフィールドと同じであってはなりません。

ユーザー テーブルのテーブル名、フィールド名、パスワードは推測されにくいものでなければなりません。

ブルート フォース クラッキングを防ぐために、確認コードを使用してログインを確認します。

送信されたデータがこの Web サイトからのものであるかどうかを確認してください。 (推奨学習: PHP プログラミングの入門から習熟まで )

ログイン バックグラウンド処理コードのデータベース部分では、前処理とフィルタリングを使用して SQL インジェクションを防止します。

例: 認証、電子メールの確認、アカウント (パスワード、電子メール) の更新などを処理する必要があります。

<?php
　　　　 function user_change_email ($password1,$new_email,$user_name) {
　　　　　 global $feedback,$hidden_hash_var;
　　　　　 if (validate_email($new_email)) {
　　　　　　　 $hash=md5($new_email.$hidden_hash_var);
　　　　　　　 file://改变数据库中确认用的无序码值，但不改变email
　　　　　　 file://发出一个带有新认证码的确认email
　　　　　　　 $user_name=strtolower($user_name);
　　　　　　　 $password1=strtolower($password1);
　　　　　　　 $sql="UPDATE user SET confirm_hash=&#39;$hash&#39; WHERE user_name=&#39;$user_name&#39; AND password=&#39;". md5($password1) ."&#39;";
　　　　　　　 $result=db_query($sql);
　　　　　　　 if (!$result || db_affected_rows($result) < 1) {
　　　　　　　　 $feedback .= &#39; ERROR - Incorrect User Name Or Password &#39;;
　　　　　　　　 return false;
　　　　　　　　 } else {
　　　　　　　　　 $feedback .= &#39; Confirmation Sent &#39;;
　　　　　　　　　 user_send_confirm_email($new_email,$hash);
　　　　　　　　　 return true;
　　　　　　　　　 }
　　　　　　　 } else {
　　　　　　　　　 $feedback .= &#39; New Email Address Appears Invalid &#39;;
　　　　　　　　　 return false;
　　　　　　　　 }
　　　　　　　 }
　　　　 function user_confirm($hash,$email) {
　　　　　　 /*
　　　　　　　 用户点击认证email的相关连接时，连到一个确认的页面，该页面会调用这个函数，
　　　　　　 */
　　　　　 global $feedback,$hidden_hash_var;
　　　　　　 file://verify that they didn&#39;t tamper with the email address
　　　　　　 $new_hash=md5($email.$hidden_hash_var);
　　　　　　 if ($new_hash && ($new_hash==$hash)) {
　　　　　　　　 file://在数据库中找出这个记录
　　　　　　　　 $sql="SELECT * FROM user WHERE confirm_hash=&#39;$hash&#39;";
　　　　　　　　 $result=db_query($sql);
　　　　　　　　 if (!$result || db_numrows($result) < 1) {
　　　　　　　　　　 $feedback .= &#39; ERROR - Hash Not Found &#39;;
　　　　　　　　　　 return false;
　　　　　　　　 } else {
　　　　　　　　　　 file://确认email，并且设置帐号为已经激活
　　　　　　　　　　 $feedback .= &#39; User Account Updated - You Are Now Logged In &#39;;
　　　　　　　　　　 user_set_tokens(db_result($result,0,&#39;user_name&#39;));
　　　　　　　　　　 $sql="UPDATE user SET email=&#39;$email&#39;,is_confirmed=&#39;1&#39; WHERE confirm_hash=&#39;$hash&#39;";
　　　　　　　　　　 $result=db_query($sql);
　　　　　　　　　　 return true;
　　　　　　　　　 }
　　　　　　　　 } else {
　　　　　　　　　 $feedback .= &#39; HASH INVALID - UPDATE FAILED &#39;;
　　　　　　　　　 return false;
　　　　　　　　 }
　　　　　　　 }
　　　　 function user_send_confirm_email($email,$hash) {
　　　　　　 /*
　　　　　　　 这个函数在首次注册或者改变email地址时使用
　　　　　　 */
　　　　　　　 $message = "Thank You For Registering at Company.com".
　　　　　　　 "
Simply follow this link to confirm your registration: ".
　　　　　　 "
http://www.company.com/account/confirm.php?hash=$hash&email=". urlencode($email). "
Once you confirm, you can use the services on PHPBuilder.";
mail ($email,&#39;Registration Confirmation&#39;,$message,&#39;From: noreply@company.com&#39;);
　　　　　 }
　　　　 ?＞

おそらく、この方法はユーザー認証ではなく、セッションやその他の方法で使用されますが、暗号化と確認の方法に関して、この記事は依然としてインスピレーションを与えてくれます。

以上がphpユーザーがログインする際に注意すべきことは何ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。