我正在编写一个 PHP 脚本,我需要登录。所以我想用用户名和密码检查数据库的输入。最好的方法是通过查询来比较帖子数据是否与数据库中的相同(SQL函数'like')?之后,我计算 mysql 行数。如果为零,我拒绝登录。如果是一个,我允许登录。
这是常见且正确的做法还是有更好的方法?我想拥有最好的现代方式。这也是我使用 HTML5 的原因。
问问题
83 次
2 回答
0
最新的方法是使用PHP 5.5 密码散列函数。
而且因为不是每个人都使用 5.5,所以有一个库可以为早期的 PHP 版本实现它。
因为散列密码使用一个动态的“salt”,一个随机字符串,为每个用户单独生成,登录时你实际上需要读取用户数据库来获取当前的散列,因为当你想比较登录密码时,你需要散列作为password_verify()函数的第二个输入。
所以实际上,如果您在数据库中找到用户,您会尝试(不要在此处使用“LIKE”,这是用于使用占位符进行搜索 - 您的用户应该能够正确输入他的用户名)。如果没有找到:没有登录。如果找到两个:您应该为用户名添加一个唯一索引,否则您将拥有两个同名的用户。
如果找到一个条目,您阅读它,比较哈希值,然后允许他进一步。
于 2013-09-15T19:54:10.807 回答
0
我的代码的一部分。为将来的 cookie 登录设置 cookie,并在会话中设置尝试以在尝试超过特定登录次数时显示验证码。(希望你能明白一点)
登录通话
if($this->check_signin_errors()) {
if($this->signin($this->user_email, sha1($this->user_pass))) { //$user_pass hashed
header("Location: /account/");
exit();
} else {
$this->generate_captcha();
}
return true;
}
登录功能
private function signin($user_email, $user_pass) {
global $con;
$query = mysqli_query($con, "SELECT *, COUNT(id) FROM `accounts` WHERE `user_email` = '".mysqli_real_escape_string($con, $user_email)."' AND `user_pass` = '".mysqli_real_escape_string($con, $user_pass)."' AND access_level >= '0'");
$result = mysqli_fetch_assoc($query);
if($result['COUNT(id)'] > 0) {
$_SESSION['account_logged'] = true;
$_SESSION['user_id'] = $result['id'];
$_SESSION['user_email'] = $result['user_email'];
$_SESSION['user_pass'] = $result['user_pass'];
$_SESSION['access_key'] = $result['access_key'];
$_SESSION['access_level'] = $result['access_level'];
$this->set_cookie('cookie_name', '1/'.$_SESSION['user_email'].'/'.$_SESSION['user_pass'], 7776000);
$_SESSION['attempt'] = 1;
return true;
}
$_SESSION['account_logged'] = false;
$_SESSION['attempt'] = $_SESSION['attempt'] + 1;
$this->throw_error(5);
return false;
}
于 2013-09-15T19:41:19.537 回答