欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

php用户登录要注意什么

程序员文章站 2022-04-11 10:35:14
...
php用户登录要注意什么方面?

php用户登录要注意什么

密码要使用MD5(密码+字符串)进行加密。

登录表单的名称不要跟数据库字段一样,以免暴漏表字段。

用户表的表名、字段名、密码尽量用不容易被猜到的。

要使用验证码验证登陆,以防止暴力破解。

验证提交的数据是不是来自本网站。(推荐学习:PHP编程从入门到精通

登录后台处理代码数据库部分使用预处理,做好过滤,防止sql注入。

例如:它需要处理认证、确认email,更新帐号(密码,email)等事情。

<?php
     function user_change_email ($password1,$new_email,$user_name) {
      global $feedback,$hidden_hash_var;
      if (validate_email($new_email)) {
        $hash=md5($new_email.$hidden_hash_var);
        file://改变数据库中确认用的无序码值,但不改变email
       file://发出一个带有新认证码的确认email
        $user_name=strtolower($user_name);
        $password1=strtolower($password1);
        $sql="UPDATE user SET confirm_hash='$hash' WHERE user_name='$user_name' AND password='". md5($password1) ."'";
        $result=db_query($sql);
        if (!$result || db_affected_rows($result) < 1) {
         $feedback .= ' ERROR - Incorrect User Name Or Password ';
         return false;
         } else {
          $feedback .= ' Confirmation Sent ';
          user_send_confirm_email($new_email,$hash);
          return true;
          }
        } else {
          $feedback .= ' New Email Address Appears Invalid ';
          return false;
         }
        }
     function user_confirm($hash,$email) {
       /*
        用户点击认证email的相关连接时,连到一个确认的页面,该页面会调用这个函数,
       */
      global $feedback,$hidden_hash_var;
       file://verify that they didn't tamper with the email address
       $new_hash=md5($email.$hidden_hash_var);
       if ($new_hash && ($new_hash==$hash)) {
         file://在数据库中找出这个记录
         $sql="SELECT * FROM user WHERE confirm_hash='$hash'";
         $result=db_query($sql);
         if (!$result || db_numrows($result) < 1) {
           $feedback .= ' ERROR - Hash Not Found ';
           return false;
         } else {
           file://确认email,并且设置帐号为已经激活
           $feedback .= ' User Account Updated - You Are Now Logged In ';
           user_set_tokens(db_result($result,0,'user_name'));
           $sql="UPDATE user SET email='$email',is_confirmed='1' WHERE confirm_hash='$hash'";
           $result=db_query($sql);
           return true;
          }
         } else {
          $feedback .= ' HASH INVALID - UPDATE FAILED ';
          return false;
         }
        }
     function user_send_confirm_email($email,$hash) {
       /*
        这个函数在首次注册或者改变email地址时使用
       */
        $message = "Thank You For Registering at Company.com".
        "
Simply follow this link to confirm your registration: ".
       "
http://www.company.com/account/confirm.php?hash=$hash&email=". urlencode($email). "
Once you confirm, you can use the services on PHPBuilder.";
mail ($email,'Registration Confirmation',$message,'From: noreply@company.com');
      }
     ?>

或许我们在用户认证方面不是采用这种方法,而是采用session等方式,不过这篇文章在如何进行加密和确认方面,还是对我们有所启发的。

以上就是php用户登录要注意什么的详细内容,更多请关注其它相关文章!

相关标签: php