php怎么实现登录失败次数限制

181 阅读 0 评论 120 点赞

我是靠谱客的博主贪玩鱼，这篇文章主要介绍php怎么实现登录失败次数限制，现在分享给大家，希望可以做个参考。

本文操作环境：windows7系统、PHP7.1版、DELL G3电脑

PHP实现登录失败次数限制

登录密码错误次数限制

安全对每个网站的重要性，不言自明。 其中，登陆又是网站中比较容易受到攻击的一个地方，那么我们如何对登陆功能的安全性加强呢？

我们先来看一些知名的网站是如何做的

Github
Github网站同一个账号在同一个IP地址连续密码输错一定次数后，这个账号是会被锁定30分钟的。
Github这么做的主要原因，我觉得主要基于以下考虑：
1. 防止用户的账号密码被暴力破解
实现思路
既然这么多网站的登陆功能都这么个功能，那么具体如何实现的。下面，就具体说说。
- 思路
  1. 需要一个表(user_login_info)负责记录用户登录的信息，不管登录成功还是失败都记录。并且登陆失败还是成功需要能够区分开来。
  2. 每次登陆时，都先从user_login_info表查询最近30分钟内(这里假设密码错误次数达到5次后，禁用用户30分钟)有没有相关密码错误的记录，然后统计一下记录总条数是否达到设定的错误次数。
  1. 如果在相同IP下，同一个用户，在30分钟内密码错误次数达到设定的错误次数，就不让用户登录了。
具体代码与及表设计
- 表设计
user_login_info表
复制代码 CREATE TABLE `user_login_info` ( `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT NOT NULL, `uid` int(10) UNSIGNED NOT NULL, `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP', `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '用户登陆时间', `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态' COMMENT '0 正确 2错误' ) ENGINE=InnoDB DEFAULT CHARSET=utf8;1 2 3 4 5 6 7 8 9 CREATE TABLE `user_login_info` ( `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT NOT NULL, `uid` int(10) UNSIGNED NOT NULL, `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP', `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '用户登陆时间', `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态' COMMENT '0 正确 2错误' ) ENGINE=InnoDB DEFAULT CHARSET=utf8; 登录后复制
user表(用户表)
复制代码 CREATE TABLE `user` ( `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT, `name` varchar(100) NOT NULL COMMENT '用户名', `email` varchar(100) NOT NULL, `pass` varchar(255) NOT NULL, `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用', PRIMARY key(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;1 2 3 4 5 6 7 8 CREATE TABLE `user` ( `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT, `name` varchar(100) NOT NULL COMMENT '用户名', `email` varchar(100) NOT NULL, `pass` varchar(255) NOT NULL, `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用', PRIMARY key(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8; 登录后复制
- 核心代码
复制代码<?php class Login { protected $pdo; public function __construct() { //链接数据库 $this->connectDB(); } protected function connectDB() { $dsn = "mysql:host=localhost;dbname=demo;charset=utf8"; $this->pdo = new PDO($dsn, 'root', 'root'); } //显示登录页 public function loginPage() { include_once('./html/login.html'); } //接受用户数据做登录 public function handlerLogin() { $email = $_POST['email']; $pass = $_POST['pass']; //根据用户提交数据查询用户信息 $sql = "select id,name,pass,reg_time from user where email = ?"; $stmt = $this->pdo->prepare($sql); $stmt->execute([$email]); $userData = $stmt->fetch(PDO::FETCH_ASSOC); //没有对应邮箱 if ( empty($userData) ) { echo '登录失败1'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } //检查用户最近30分钟密码错误次数 $res = $this->checkPassWrongTime($userData['id']); //错误次数超过限制次数 if ( $res === false ) { echo '你刚刚输错很多次密码，为了保证账户安全，系统已经将您账号锁定30min'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } //判断密码是否正确 $isRightPass = password_verify($pass, $userData['pass']); //登录成功 if ( $isRightPass ) { echo '登录成功'; exit; } else { //记录密码错误次数 $this->recordPassWrongTime($userData['id']); echo '登录失败2'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } } //记录密码输出信息 protected function recordPassWrongTime($uid) { //ip2long()函数可以将IP地址转换成数字 $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); $time = date('Y-m-d H:i:s'); $sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); } /** * 检查用户最近$min分钟密码错误次数 * $uid 用户ID * $min 锁定时间 * $wTIme 错误次数 * @return 错误次数超过返回false,其他返回错误次数，提示用户 */ protected function checkPassWrongTime($uid, $min=30, $wTime=3) { if ( empty($uid) ) { throw new Exception("第一个参数不能为空"); } $time = time(); $prevTime = time() - $min*60; //用户所在登录ip $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); //pass_wrong_time_status代表用户输出了密码 $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); $data = $stmt->fetchAll(PDO::FETCH_ASSOC); //统计错误次数 $wrongTime = count($data); //判断错误次数是否超过限制次数 if ( $wrongTime > $wTime ) { return false; } return $wrongTime; } public function __call($methodName, $params) { echo '访问的页面不存在','<a href="./login.php">返回登录页</a>'; } } $a = @$_GET['a']?$_GET['a']:'loginPage'; $login = new Login(); $login->$a();1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 <?php class Login { protected $pdo; public function __construct() { //链接数据库 $this->connectDB(); } protected function connectDB() { $dsn = "mysql:host=localhost;dbname=demo;charset=utf8"; $this->pdo = new PDO($dsn, 'root', 'root'); } //显示登录页 public function loginPage() { include_once('./html/login.html'); } //接受用户数据做登录 public function handlerLogin() { $email = $_POST['email']; $pass = $_POST['pass']; //根据用户提交数据查询用户信息 $sql = "select id,name,pass,reg_time from user where email = ?"; $stmt = $this->pdo->prepare($sql); $stmt->execute([$email]); $userData = $stmt->fetch(PDO::FETCH_ASSOC); //没有对应邮箱 if ( empty($userData) ) { echo '登录失败1'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } //检查用户最近30分钟密码错误次数 $res = $this->checkPassWrongTime($userData['id']); //错误次数超过限制次数 if ( $res === false ) { echo '你刚刚输错很多次密码，为了保证账户安全，系统已经将您账号锁定30min'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } //判断密码是否正确 $isRightPass = password_verify($pass, $userData['pass']); //登录成功 if ( $isRightPass ) { echo '登录成功'; exit; } else { //记录密码错误次数 $this->recordPassWrongTime($userData['id']); echo '登录失败2'; echo '<meta http-equiv="refresh" content="2;url=./login.php">'; exit; } } //记录密码输出信息 protected function recordPassWrongTime($uid) { //ip2long()函数可以将IP地址转换成数字 $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); $time = date('Y-m-d H:i:s'); $sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); } /** * 检查用户最近$min分钟密码错误次数 * $uid 用户ID * $min 锁定时间 * $wTIme 错误次数 * @return 错误次数超过返回false,其他返回错误次数，提示用户 */ protected function checkPassWrongTime($uid, $min=30, $wTime=3) { if ( empty($uid) ) { throw new Exception("第一个参数不能为空"); } $time = time(); $prevTime = time() - $min*60; //用户所在登录ip $ip = ip2long( $_SERVER['REMOTE_ADDR'] ); //pass_wrong_time_status代表用户输出了密码 $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip"; $stmt = $this->pdo->prepare($sql); $stmt->execute(); $data = $stmt->fetchAll(PDO::FETCH_ASSOC); //统计错误次数 $wrongTime = count($data); //判断错误次数是否超过限制次数 if ( $wrongTime > $wTime ) { return false; } return $wrongTime; } public function __call($methodName, $params) { echo '访问的页面不存在','<a href="./login.php">返回登录页</a>'; } } $a = @$_GET['a']?$_GET['a']:'loginPage'; $login = new Login(); $login->$a(); 登录后复制推荐学习：《PHP视频教程》