php怎么实现登录失败次数限制

php实现登录失败次数限制的方法:1、创建一个表用于负责记录用户登录的信息;2、查看密码错误的记录;3、在相同IP下,同一个用户在30分钟内密码错误次数达到设定的错误次数,就不让用户登录。

本文操作环境:windows7系统、PHP7.1版、DELL G3电脑

PHP实现登录失败次数限制

登录密码错误次数限制

安全对每个网站的重要性,不言自明。 其中,登陆又是网站中比较容易受到攻击的一个地方,那么我们如何对登陆功能的安全性加强呢?

我们先来看一些知名的网站是如何做的

  • Github

    Github网站同一个账号在同一个IP地址连续密码输错一定次数后,这个账号是会被锁定30分钟的。

  • Github这么做的主要原因,我觉得主要基于以下考虑:

    1. 防止用户的账号密码被暴力破解

    实现思路

    既然这么多网站的登陆功能都这么个功能,那么具体如何实现的。下面,就具体说说。

    • 思路

      1. 需要一个表(user_login_info)负责记录用户登录的信息,不管登录成功还是失败都记录。并且登陆失败还是成功需要能够区分开来。

      2. 每次登陆时,都先从user_login_info表查询最近30分钟内(这里假设密码错误次数达到5次后,禁用用户30分钟)有没有相关密码错误的记录,然后统计一下记录总条数是否达到设定的错误次数。

      1. 如果在相同IP下,同一个用户,在30分钟内密码错误次数达到设定的错误次数,就不让用户登录了。

    具体代码与及表设计

    • 表设计

    user_login_info表

       CREATE TABLE `user_login_info` (
           `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT  NOT NULL,
           `uid` int(10) UNSIGNED NOT NULL,
           `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP',
           `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP 
           COMMENT '用户登陆时间',
           `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态' 
           COMMENT '0 正确 2错误'
        ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

    user表(用户表)

       CREATE TABLE `user` (
          `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
          `name` varchar(100) NOT NULL COMMENT '用户名',
          `email` varchar(100) NOT NULL,
          `pass` varchar(255) NOT NULL,
          `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用',
           PRIMARY key(id)
        ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
    • 核心代码
    <?php
    
    class Login
    {
    
        protected $pdo;
    
        public function __construct()
        {
            //链接数据库
            $this->connectDB();
        }
    
        protected function connectDB()
        {
            $dsn = "mysql:host=localhost;dbname=demo;charset=utf8";
            $this->pdo = new PDO($dsn, 'root', 'root');
        }
    
        //显示登录页
        public function loginPage()
        {
              include_once('./html/login.html');
    
        }
    
        //接受用户数据做登录
        public function handlerLogin()
        {
    
            $email = $_POST['email'];
            $pass = $_POST['pass'];
    
            //根据用户提交数据查询用户信息
            $sql = "select id,name,pass,reg_time from user where email = ?";
            $stmt = $this->pdo->prepare($sql);
            $stmt->execute([$email]);
    
            $userData = $stmt->fetch(\PDO::FETCH_ASSOC);
    
            //没有对应邮箱
            if ( empty($userData) ) {
    
                echo '登录失败1';
    
                echo '<meta http-equiv="refresh" content="2;url=./login.php">';
                exit;
            }
    
            //检查用户最近30分钟密码错误次数
            $res = $this->checkPassWrongTime($userData['id']);
    
            //错误次数超过限制次数
            if ( $res === false ) {
                echo '你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min';
    
                echo '<meta http-equiv="refresh" content="2;url=./login.php">';
                exit;
            }
    
    
            //判断密码是否正确
            $isRightPass = password_verify($pass, $userData['pass']);
    
            //登录成功
            if ( $isRightPass ) {
    
                echo '登录成功';
                exit;
            } else {
    
                //记录密码错误次数
                $this->recordPassWrongTime($userData['id']);
    
                echo '登录失败2';
                echo '<meta http-equiv="refresh" content="2;url=./login.php">';
                exit;
            }
    
        }
    
        //记录密码输出信息
        protected function recordPassWrongTime($uid)
        {
    
            //ip2long()函数可以将IP地址转换成数字
            $ip = ip2long( $_SERVER['REMOTE_ADDR'] );
    
            $time = date('Y-m-d H:i:s');
            $sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)";
    
    
            $stmt = $this->pdo->prepare($sql);
    
            $stmt->execute();
        }
    
        /**
         * 检查用户最近$min分钟密码错误次数
         * $uid 用户ID
         * $min  锁定时间
         * $wTIme 错误次数
         * @return 错误次数超过返回false,其他返回错误次数,提示用户
         */
        protected function checkPassWrongTime($uid, $min=30, $wTime=3)
        {
    
            if ( empty($uid) ) {
    
                throw new \Exception("第一个参数不能为空");
    
            }
    
            $time = time();
            $prevTime = time() - $min*60;
    
            //用户所在登录ip
            $ip = ip2long( $_SERVER['REMOTE_ADDR'] );
    
    
            //pass_wrong_time_status代表用户输出了密码
            $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";
    
            $stmt = $this->pdo->prepare($sql);
    
            $stmt->execute();
    
            $data = $stmt->fetchAll(\PDO::FETCH_ASSOC);
    
    
            //统计错误次数
            $wrongTime = count($data);
    
            //判断错误次数是否超过限制次数
            if ( $wrongTime > $wTime ) {
                return false;
            }
    
            return $wrongTime;
    
        }
    
        public function __call($methodName, $params)
        {
    
            echo '访问的页面不存在','<a href="./login.php">返回登录页</a>';
        }
    }
    
    $a = @$_GET['a']?$_GET['a']:'loginPage';
    
    
    $login = new Login();
    
    $login->$a();

    推荐学习:《》

以上就是php怎么实现登录失败次数限制的详细内容,更多请关注php中文网其它相关文章!