一个完整、安全的PHP用户登录系统_PHP
为了在保证该系统安全的同时,不会加重我现有数据库的负担。因此这个新的系统要依赖cookies.这确实是一个两难的选择,因为如果只是设置一个用户名的cookie,是很不安全的,这行不通,但从数据库的负担考虑,我也不能加入一个简单的无序码而交由我的数据库来进行验证。
解决的方法是同时设置两个cookie,一个是用户名的cookie,一个是无序码的cookie. 这个无序码实际上是由用户名和一个超级密码(只有程序设计者知道)组合通过md5 ()函数运算产生的。由于md5 ()是一个单向的无序码,因此是不可以破解的。在用户更改email 时,我也可以用该email 和超级密码产生一个无序码,以让用户确认修改。这实际上是一个公匙/ 私匙类的系统。不明白?不要紧,下面再慢慢说明。
有趣的是,这个系统的扩展能力是可以达到无穷的,因为该系统的主要工作是计算md5 ()函数的值,而且由web 服务器完成,在负载增加时,可以加入其它的服务器来分担负载,虽然认证系统不会拖跨一个数据库,但是这样做就让最终的瓶颈只能出现在数据库上。
以下是该库中的两个函数——记号产生和记号认证函数。
<?php
$hidden_hash_var='your_secret_password_here';
$LOGGED_IN=false;
unset($LOGGED_IN);
function user_isloggedin() {
global $user_name,$id_hash,$hidden_hash_var,$LOGGED_IN;
file://已经进行无序码的检测了吗
file://如果是的话,返回该变量
if ( isset($LOGGED_IN) ) {
return $LOGGED_IN;
}
file://are both cookies present?
if ($user_name && $id_hash) {
/*
由cookies中得来的用户名和系统超级密码产生一个认证用的无序码如果该无序码与cookie中的无序码一样,则cookies中的变量是可信的,用户已经登录
*/
$hash=md5($user_name.$hidden_hash_var);
if ($hash == $id_hash) {
file://无序码符合,设置一个全局变量,这样我们在再次调用该函数的时候,
file://就无需再次进行md5()运算
$LOGGED_IN=true;
return true;
} else {
file://两个无序码不符合,没有登录
$LOGGED_IN=false;
return false;
}
} else {
$LOGGED_IN=false;
return false;
}
}
function user_set_tokens($user_name_in) {
/*
一旦用户名和密码通过验证,就调用这个函数
*/
global $hidden_hash_var,$user_name,$id_hash;
if (!$user_name_in) {
$feedback .= ' ERROR - User Name Missing When Setting Tokens ';
return false;
}
$user_name=strtolower($user_name_in);
file://使用用户名和超级密码创建一个无序码,作判断是否已经登录用
$id_hash= md5($user_name.$hidden_hash_var);
file://设置cookies的有效期为一个月,可设置为任何的值
setcookie('user_name',$user_name,(time()+2592000),'/','',0);
setcookie('id_hash',$id_hash,(time()+2592000),'/','',0);
}
?>
上一篇: php网站怎么修改图片
推荐阅读
-
php 进阶:写一个用户在线显示的程序_PHP教程
-
一个登陆安全的函数PHP mysql
-
超详细的php用户注册页面填写信息完整实例(附源码),用户注册源码_PHP教程
-
php 进阶:写一个用户在线显示的程序_PHP教程
-
详细介绍php redis实现文章发布系统(用户投票系统)的实例
-
photoshop cs5 官方中文正式原版下载 php的一个登录的类 [推荐]
-
laravel5.1 - php laravel 如何优雅的写一个登录验证的 中间件鱼路由
-
PHP的一个完整SMTP类(解决邮件服务器需要验证时的问题)_PHP
-
php中使用session防止用户非法登录后台的方法
-
php使用cookie保存登录用户名的方法