php登陆错误限制思路

最新推荐文章于 2021-04-02 00:47:07 发布
最新推荐文章于 2021-04-02 00:47:07 发布
阅读量157 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php
原文链接:http://www.cnblogs.com/hoewang/p/10257285.html
本文介绍了一种登录限制策略,通过记录用户的登录尝试信息,包括IP地址、时间戳和状态等,来实现对频繁登录失败行为的限制。当用户在短时间内连续多次输入错误密码时,会触发验证码机制以进一步确认用户身份。

登录限制思路:

         每次登陆的时候除了判断密码和用户是否存在之外,每次密码错误的时候要往一张表中进行插入登陆信息,包括ip,时间戳,以及状态和用户名。然后每次登陆的时候进行查询看半小时内的错误条数是否超过自己设定的5条。输入错误三次错误3次以上开启验证码:当前台失去焦点的时候拿这个用户名进行ajax验证去看看半小时内错误次数,超过多少次则不同的ajaxReturn,根据这个前台来判断是否显示验证码。但其实应该是有更好的方法那就是新增加两个字段,一个是登陆时间,一个是,次数,在错误的时候就去查一下时间戳,如果离现在的时间戳只有半小时内那就将次数+1,如果超过了半小时那就将清0。

转载于:https://www.cnblogs.com/hoewang/p/10257285.html

PHP登录页面出现问题,如何处理
DsJustintime的博客
10-10 552
通过正确处理用户提供的凭据,验证表单处理和会话设置,可以解决大多数登录失败的情况。记住,登录功能对于网站的安全性至关重要,因此在实际项目中,应该采用更加复杂和安全的验证方式,并使用数据库存储和验证用户凭据。为了解决这个问题,首先要确保在验证用户提供的凭据时,与数据库中存储的凭据进行正确的比对。确保在处理登录逻辑之前,正确地启动会话,并在用户验证通过后,将相关信息存储在会话中。在实际项目中,应该使用安全的密码哈希算法(如bcrypt)来存储和验证密码,而不是明文存储密码。登录表单的处理也可能引起登录失败。
登录失败次数限制(原生php代码实现)
小罗的博客
08-22 9844
登录密码错误次数限制 安全对每个网站的重要性,不言自明。 其中,登陆又是网站中比较容易受到攻击的一个地方,那么我们如何对登陆功能的安全性加强呢? 我们先来看一些知名的网站是如何的Github Github网站同一个账号在同一个IP地址连续密码输错一定次数后,这个账号是会被锁定30分钟的。如下图所示:Github这么的主要原因,我觉得主要基于以下考虑:防止用户的账号密码被暴力破解 Si
对用户登录输入密码错误限制
菜鸟黑一枚
12-28 1815
package com.comtop.map.pub.security; import com.comtop.map.pub.cache.redis.JedisTemplate; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import ...
php限制同一用户登录次数
04-19
php限制同一用户登录次数,非常使用,简单。
PHP单点登录出现的错误
chajinglong的专栏
05-26 776
单点登录,众所周知,一台机器登录,另一台登陆的时候会把第一台挤掉(实时),一般情况下,除非实时处理的,都是在第一台登录有关token认证的情况下,给接口写一个中间件处理,这样会给用户提示并退出软件。 1、中间件处理的时候、由于在存取cache缓存的时候用了一个cacheKey = 'token',导致进过中间件的处理,每一次只能登录一个用户,这个问题是惨痛的(必须加用户唯一id,例如,
php错误密码也能登陆账号,php用户登陆代码(限制用户错误登录次数)(1/2
weixin_39746229的博客
03-09 384
php用户登陆代码(限制用户错误登录次数)(1/2)php用户登陆代码(限制用户错误登录次数)php教程用户登陆代码(限制用户错误登录次数)session_start();include("mysql教程.class.php");$db=new mysql('localhost', 'root', '', 'flx', 'conn', 'gbk');// 为方便测试,这里只是简单定义了一个特定的用...
详解php+nginx 服务发生500 502错误排查思路
09-29
一般情况下,排查这类错误思路主要是检查服务器的错误日志。错误日志中通常会记录导致错误发生的详细信息,通过对这些信息的分析,我们能够定位到问题所在,进而采取相应的解决措施。 在NGINX服务器中,错误日志...
PHP 程序授权验证开发思路
10-29
”这两句提供了核心话题,即如何通过PHP实现商业软件的服务器限制授权。在商业软件中,保护软件不被未经授权的用户使用是至关重要的,尤其是在云计算和虚拟化技术普及的当下,防止软件被轻易地迁移到其他服务器上...
【新思路php限制访问代码
08-28
标题提到的"【新思路php限制访问代码"可能是指一种利用浏览器预设语言信息来实施访问控制的方法。这种方法可以防止未经授权的用户或者特定地区的用户访问您的网站内容。下面我们将详细探讨这种策略以及相关的PHP...
php漏洞探测思路
01-06
### PHP漏洞探测思路详解 #### 一、引言 在当今互联网时代,Web应用程序的安全性问题日益凸显。作为广泛使用的Web开发语言之一,PHP的安全问题备受关注。在实际的应用场景中,很多情况下我们无法获得PHP源码,这给...
深入分析nginx+php-fpm服务HTTP状态码502
09-29
当尝试访问这个脚本时,由于脚本执行时间超过了3秒的限制PHP-FPM会终止该进程,导致Nginx收到"Connection reset by peer"错误并返回502状态码。 在排查此类问题时,首先应查看错误日志。Nginx的日志可能会显示...
php 程序中开启报错
wmsjlihuan的专栏
08-02 1161
ini_set("display_errors","On"); error_reporting(E_ALL);
[PHP]网站一直登录失败
Balmunc的专栏
11-28 1407
1、问题 账号和密码正确,但是一直登录失败 2、原因 服务器session写不进去,session丢失,导致一直登录失败 修改php.ini session.save_handler = files 如果还不行,请检查存放session的磁盘分区(默认分区:/tmp)是否已满。 ...
php 登陆失败原因,phpMyAdmin 无法登录的一个可能原因
weixin_35120608的博客
03-28 953
今天解决了一个 phpMyAdmin 无法登录的问题。虽然系统配置没有错误,配置文件 config.inc.php 的内容也没有错误,但就是无法登录。然后直接 cp 复制安装目录中的 sample 配置文件 config.sample.inc.php 过去并修改内容就解决了问题。1. 背景前些天因为磁盘空间不足而导致数据库崩溃。重新搭建系统,然后通过 ftp 直接将崩溃的系统中的配置文件上传到了新...
php登录不了怎么办,php写的系统突然无法登录怎么办?
weixin_27890975的博客
04-02 1164
php写的系统突然无法登录怎么办?通常我们php程序会用开源程序,但有些不能满足我们的需求,就需要自己写。自己写的难免会有写bug,下面来看看怎么找出错误并修改它吧。php登录系统通常有用户名,密码,验证码这三个字段的验证,其中涉及到数据库,form传值等,通常排查这些地方就能解决问题了。1、首先打开php登录系统,按下f12,打开调试工具,点击network注:登录会跳转界面,造成历史请求被清...
PHP限制客户端获取瀑布流图片
最新发布
06-15
<think>我们正在讨论如何限制客户端在PHP中对瀑布流图片的访问。瀑布流图片通常指的是在网页上以动态加载方式展示的图片,用户滚动页面时不断加载新的图片。为了保护图片资源不被滥用(例如防盗链、限制访问频率等),我们需要在服务器端实施一些访问控制措施。根据引用[1]和[2]的内容,我们可以考虑使用缓存来优化性能,同时也要注意来自客户端的请求可能包含恶意内容,不能完全信任。因此,在实现访问限制时,我们需要在服务器端进行严格的验证。常见的限制访问图片的方法包括:1.防盗链(Referer检查):检查HTTP请求头中的Referer字段,只允许来自特定域名的请求访问图片。2.访问令牌(Token):在请求图片时,要求附带一个由服务器生成的令牌,该令牌有时效性且只能使用一次或有限次数。3.用户身份验证:要求用户登录后才能访问图片,通过会话(Session)或Cookie来验证用户身份。4.频率限制限制每个客户端(IP或用户)在单位时间内访问图片的次数。由于用户要求的是瀑布流图片,通常这些图片是按需加载的,因此我们需要设计一个既能保护图片资源又不影响正常用户体验的方案。具体实现思路:1.防盗链:在图片的访问入口(例如一个PHP脚本,如image.php)中检查Referer。但要注意,Referer可以被伪造或为空(比如用户直接从浏览器地址栏打开图片链接),因此可能需要结合其他方法。2.使用访问令牌:在生成瀑布流页面时,为每一张图片的URL生成一个临时的访问令牌(token),并将该令牌与当前用户会话或IP绑定。当客户端请求图片时,验证令牌的有效性。3.通过PHP脚本输出图片:不直接暴露图片的URL,而是通过一个PHP脚本(如image.php)来输出图片。在该脚本中执行访问控制逻辑。示例代码:假设我们有一个图片访问脚本`image.php`,它接收图片ID和访问令牌作为参数。```php//image.php//开启会话,用于验证用户(如果需要)session_start();//获取参数$imageId=isset($_GET['id'])?$_GET['id']:null;$token=isset($_GET['token'])?$_GET['token']:null;//验证参数if(!$imageId||!$token){header('HTTP/1.1400BadRequest');exit;}//验证令牌(这里以存储在session中的令牌为例)if(!isset($_SESSION['image_token'])||$token!==$_SESSION['image_token']){//令牌无效header('HTTP/1.1403Forbidden');exit;}//令牌使用一次后失效(如果需要一次性令牌)unset($_SESSION['image_token']);//根据图片ID获取图片路径(这里假设图片存储在服务器上,路径安全)$imagePath=getImagePathById($imageId);//自定义函数,需实现if(!file_exists($imagePath)){header('HTTP/1.1404NotFound');exit;}//输出图片header('Content-Type:image/jpeg');//根据实际图片类型调整readfile($imagePath);```在瀑布流页面中,生成图片URL时,需要先创建一个令牌并存入session,然后将该令牌作为参数附加到图片URL:```php//在生成瀑布流页面的PHP脚本中session_start();//生成一个令牌(这里使用简单的示例,实际中应使用更安全的随机数)$token=md5(uniqid(mt_rand(),true));$_SESSION['image_token']=$token;//然后为每张图片生成URL$imageUrl="image.php?id={$imageId}&token={$token}";```但是,上述方法中,同一个会话中所有图片共享一个令牌,并且使用一次后就会失效(因为我们在image.php中销毁了令牌),这显然不适合瀑布流中多张图片的加载。因此,我们需要调整令牌的生成和验证方式。改进方案:为每张图片生成唯一的令牌,并存储一个令牌数组在session中,或者使用时效性令牌(如JWT)而不存储在服务器端。但考虑到服务器存储压力,我们可以使用基于用户会话和图片ID的哈希令牌,并设置有效期。另一种方法是使用一次性令牌,但为每个图片生成一个令牌并存储,然后在验证后删除,这样会导致用户只能加载一次图片,刷新页面后令牌失效。因此,我们可以为整个会话生成一个令牌,用于所有图片的访问,但令牌在会话期间有效(不销毁),直到会话结束。这样,只要用户会话有效,就可以加载图片。但这样令牌泄露会导致安全风险。折中方案:令牌在短时间内有效(比如5分钟),并且绑定用户会话和IP地址(可选)。这样即使令牌泄露,攻击者也只能在短时间内使用。生成令牌时加入时间戳和签名:```phpfunctiongenerateToken($imageId){$secret='your_secret_key';//服务器端保存的密钥$time=time();//令牌包含图片ID和时间戳,用密钥签名$data=$imageId.'|'.$time;$signature=hash_hmac('sha256',$data,$secret);returnbase64_encode($data.'|'.$signature);}functionvalidateToken($token,$imageId){$secret='your_secret_key';$decoded=base64_decode($token);$parts=explode('|',$decoded);if(count($parts)!==3){returnfalse;}list($tokenImageId,$tokenTime,$tokenSignature)=$parts;//验证图片IDif($tokenImageId!==$imageId){returnfalse;}//验证时间(假设令牌有效期为300秒)if(time()-$tokenTime>300){returnfalse;}//验证签名$data=$tokenImageId.'|'.$tokenTime;$signature=hash_hmac('sha256',$data,$secret);returnhash_equals($tokenSignature,$signature);}```在image.php中使用:```php//获取参数$imageId=$_GET['id']??null;$token=$_GET['token']??null;if(!$imageId||!$token){//参数错误}if(!validateToken($token,$imageId)){//令牌无效header('HTTP/1.1403Forbidden');exit;}//令牌有效,输出图片```在瀑布流页面中生成图片链接时:```php$token=generateToken($imageId);$imageUrl="image.php?id={$imageId}&token={$token}";```这样,每个图片的令牌都是独立的,并且有时间限制,即使被泄露,有效期也很短。此外,我们还可以结合Referer检查,增加一层保护:```php$referer=$_SERVER['HTTP_REFERER']??'';//检查Referer是否来自我们自己的域名if(strpos($referer,'yourdomain.com')===false){header('HTTP/1.1403Forbidden');exit;}```注意:Referer检查可能因为用户浏览器隐私设置而不发送Referer,所以不能作为唯一验证手段,但可以作为辅助手段。另外,根据引用[2],我们不能信任来自客户端的任何头部,因此上述Referer检查只能作为补充,不能替代令牌验证。总结:通过令牌验证(包含时效性和签名)来限制客户端访问瀑布流图片,同时可以辅以Referer检查,这样可以在保证安全性的同时,不影响正常用户的体验。相关问题:1.如何防止图片被盗链?2.在PHP中如何生成安全的访问令牌?3.除了令牌验证,还有哪些方法可以保护服务器上的图片资源?4.如何实现图片访问的频率限制?</think>### 如何在PHP限制客户端对瀑布流图片的访问? 在PHP限制客户端对瀑布流图片的访问,核心是通过服务器端验证机制控制资源访问权限。以下是具体实现方案: #### 1. **令牌验证机制(推荐)** ```php // 生成带时效的访问令牌 function generateAccessToken($userId) { $secret = 'your_secret_key'; $expire = time() + 300; // 5分钟有效期 return hash_hmac('sha256', $userId . $expire, $secret) . '|' . $expire; } // 图片访问控制器 image.php $token = $_GET['token'] ?? ''; $userId = $_SESSION['user_id'] ?? 0; // 验证令牌有效性 $tokenParts = explode('|', $token); if (count($tokenParts) === 2) { $signature = hash_hmac('sha256', $userId . $tokenParts[1], 'your_secret_key'); if ($signature === $tokenParts[0] && time() < $tokenParts[1]) { // 令牌有效,输出图片 header('Content-Type: image/jpeg'); readfile('path/to/image.jpg'); exit; } } // 令牌无效则拒绝访问 header('HTTP/1.1 403 Forbidden'); ``` **优点**:防止URL共享,令牌绑定用户身份和时效[^2]。 #### 2. **Referer防盗链** ```php // 检查请求来源 $allowedDomains = ['yourdomain.com', 'trusted-site.com']; $referer = parse_url($_SERVER['HTTP_REFERER'] ?? '', PHP_URL_HOST); if (!in_array($referer, $allowedDomains)) { header('HTTP/1.1 403 Forbidden'); exit; } ``` **注意**:需配合其他方法使用,因Referer可伪造[^2]。 #### 3. **用户会话验证** ```php session_start(); if (!isset($_SESSION['authenticated']) || $_SESSION['authenticated'] !== true) { header('Location: /login.php'); exit; } // 验证通过后输出图片 ``` #### 4. **动态水印保护** ```php // 为授权用户生成带水印的图片 $image = imagecreatefromjpeg('source.jpg'); $textColor = imagecolorallocate($image, 255, 0, 0); imagettftext($image, 20, 0, 50, 50, $textColor, 'font.ttf', 'User:'.$_SESSION['user_id']); header('Content-Type: image/jpeg'); imagejpeg($image); imagedestroy($image); ``` #### 5. **访问频率限制** ```php // 基于IP的访问限速 $ip = $_SERVER['REMOTE_ADDR']; $redis = new Redis(); $redis->connect('127.0.0.1'); $key = "img_rate:$ip"; if ($redis->get($key) > 50) { // 每分钟50次 header('HTTP/1.1 429 Too Many Requests'); exit; } $redis->incr($key); $redis->expire($key, 60); ``` ### 最佳实践组合 1. **前端请求流程**: ```javascript // 客户端获取授权令牌 fetch('/get_token.php') .then(res => res.json()) .then(data => { // 使用令牌请求图片 const imgUrl = `image.php?img_id=123&token=${data.token}`; }); ``` 2. **服务器端增强措施**: - 所有图片通过PHP脚本路由访问 - 结合令牌验证 + 会话检查 + 频率限制 - 敏感图片添加动态水印 - 使用CDN配合WAF规则 ### 性能优化建议 通过缓存机制(如Redis或Memcached)存储已验证的令牌状态,避免重复计算。引用[1]提到:“使用缓存插件可以把SQL查询结果缓存起来,把几十次查询结果转换为几次”,此原则同样适用于访问控制逻辑的优化。 --- ### 相关问题 1. 如何防止图片被爬虫批量下载? 2. 令牌验证机制中如何安全地存储和传输密钥? 3. 动态水印技术如何实现抗去除性? 4. 在分布式系统中如何实现跨服务器的访问频率限制? 5. 如何平衡图片访问安全性和服务器性能开销?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值