php用戶登入要注意什麼

(*-*)浩
發布: 2023-02-24 06:40:01
原創
2328 人瀏覽過

php使用者登入要注意什麼方面?

php用戶登入要注意什麼

密碼要使用MD5(密碼 字串)進行加密。

登入表單的名稱不要跟資料庫欄位一樣,以免暴漏表欄位。

使用者表的表名、欄位名稱、密碼盡量用不容易被猜到的。

要使用驗證碼驗證登陸,以防止暴力破解。

驗證提交的資料是否來自本網站。 (推薦學習:PHP程式設計從入門到精通

登入後台處理程式碼資料庫部分使用預處理,做好過濾,防止sql注入。

例如:它需要處理認證、確認email,更新帳號(密碼,email)等事情。

<?php
     function user_change_email ($password1,$new_email,$user_name) {
      global $feedback,$hidden_hash_var;
      if (validate_email($new_email)) {
        $hash=md5($new_email.$hidden_hash_var);
        file://改变数据库中确认用的无序码值,但不改变email
       file://发出一个带有新认证码的确认email
        $user_name=strtolower($user_name);
        $password1=strtolower($password1);
        $sql="UPDATE user SET confirm_hash=&#39;$hash&#39; WHERE user_name=&#39;$user_name&#39; AND password=&#39;". md5($password1) ."&#39;";
        $result=db_query($sql);
        if (!$result || db_affected_rows($result) < 1) {
         $feedback .= &#39; ERROR - Incorrect User Name Or Password &#39;;
         return false;
         } else {
          $feedback .= &#39; Confirmation Sent &#39;;
          user_send_confirm_email($new_email,$hash);
          return true;
          }
        } else {
          $feedback .= &#39; New Email Address Appears Invalid &#39;;
          return false;
         }
        }
     function user_confirm($hash,$email) {
       /*
        用户点击认证email的相关连接时,连到一个确认的页面,该页面会调用这个函数,
       */
      global $feedback,$hidden_hash_var;
       file://verify that they didn&#39;t tamper with the email address
       $new_hash=md5($email.$hidden_hash_var);
       if ($new_hash && ($new_hash==$hash)) {
         file://在数据库中找出这个记录
         $sql="SELECT * FROM user WHERE confirm_hash=&#39;$hash&#39;";
         $result=db_query($sql);
         if (!$result || db_numrows($result) < 1) {
           $feedback .= &#39; ERROR - Hash Not Found &#39;;
           return false;
         } else {
           file://确认email,并且设置帐号为已经激活
           $feedback .= &#39; User Account Updated - You Are Now Logged In &#39;;
           user_set_tokens(db_result($result,0,&#39;user_name&#39;));
           $sql="UPDATE user SET email=&#39;$email&#39;,is_confirmed=&#39;1&#39; WHERE confirm_hash=&#39;$hash&#39;";
           $result=db_query($sql);
           return true;
          }
         } else {
          $feedback .= &#39; HASH INVALID - UPDATE FAILED &#39;;
          return false;
         }
        }
     function user_send_confirm_email($email,$hash) {
       /*
        这个函数在首次注册或者改变email地址时使用
       */
        $message = "Thank You For Registering at Company.com".
        "
Simply follow this link to confirm your registration: ".
       "
http://www.company.com/account/confirm.php?hash=$hash&email=". urlencode($email). "
Once you confirm, you can use the services on PHPBuilder.";
mail ($email,&#39;Registration Confirmation&#39;,$message,&#39;From: noreply@company.com&#39;);
      }
     ?>
登入後複製

或許我們在使用者認證方面不是採用這種方法,而是採用session等方式,不過這篇文章在如何進行加密和確認方面,還是對我們有所啟發的。

以上是php用戶登入要注意什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
php
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板