本篇文章主要介紹PHP中數據庫實現更安全的永久登錄��、記住我的功能�,感興趣的朋友參考下,希望對大家有所幫助�����。永久登錄指的是在瀏覽器會話間進行持續驗證的機制。換句話說����,今天已登錄的用戶明天依然是處于登錄狀態,即使在多次訪問之間的用戶會話過期的情況下也是這樣�。永久登錄的存在降低了你的驗證機制的安全性,但它增加了可用性�����。不是在用戶每次訪問時麻煩用戶進行身份驗證�,而是提供了記住登錄的選擇。
據我觀察�����,最常見的有缺陷的永久登錄方案是將用戶名和密碼保存在一個cookie中���。這樣做的誘惑是可以理解的——不需要提示用戶輸入用戶名和密碼����,你只要簡單地從cookie中讀取它們即可��。驗證過程的其它部分與正常登錄完全相同���,因此該方案是一個簡單的方案��。
不過如果你確實是把用戶名和密碼存在cookie中的話����,請立刻關閉該功能,同時閱讀本節的余下內容以找到實現更安全的方案的一些思路�����。你將來還需要要求所有使用該cookie的用戶修改密碼�����,因為他們的驗證信息已經暴露了�����。
永久登錄需要一個永久登錄cookie���,通常叫做驗證cookie,這是由于cookie是被用來在多個會話間提供穩定數據的唯一標準機制����。如果該cookie提供永久訪問�����,它就會造成對你的應用的安全的嚴重風險�����,所以你需要確定你保存在cookie中的數據只能在有限的時間段內用于身份驗證���。
第一步是設計一個方法來減輕被捕獲的永久登錄cookie造成的風險。盡管cookie被捕獲是你需要避免的���,但有一個深度防范流程是最好的��,特別是因為這種機制即使是在一切運行正常的情況下����,也會降低驗證表單的安全性���。這樣����,該cookie就不能基于任何提供永久登錄的信息來產生,如用戶密碼�����。
為避免使用用戶的密碼���,可以建立一個只供一次驗證有效的標識:
代碼如下:
?php$token = md5(uniqid(rand(), TRUE));?
你可以把它保存在用戶的會話中以把它與特定的用戶相關聯��,但這并不能幫助你在多個會話間保持登錄�,這是一個大前提�����。因此�����,你必須使用一個不同的方法把這個標識與特定的用戶關聯起來���。
由于用戶名與密碼相比要不敏感一些�����,你可以把它存在cookie中�����,這可以幫助驗證程序確認提供的是哪個用戶的標識�����?���?墒?����,一個更好的方法是使用一個不易猜測與發現的第二身份標識����。考慮在保存用戶名和密碼的數據表中加入三個字段:第二身份標識(identifier)�����,永久登錄標識(token)�,以及一個永久登錄超時時間(timeout)。
代碼如下:
mysql DESCRIBE users;+------------+------------------+------+-----+---------+-------+| Field | Type | Null | Key | Default | Extra |+------------+------------------+------+-----+---------+-------+| username | varchar(25) | | PRI | | || password | varchar(32) | YES | | NULL | || identifier | varchar(32) | YES | MUL | NULL | || token | varchar(32) | YES | | NULL | || timeout | int(10) unsigned | YES | | NULL | |+------------+------------------+------+-----+---------+-------+
通過產生并保存一個第二身份標識與永久登錄標識��,你就可以建立一個不包含任何用戶驗證信息的cookie。
代碼如下:
?php$salt = SHIFLETT $identifier = md5($salt . md5($username . $salt));$token = md5(uniqid(rand(), TRUE));$timeout = time() + 60 * 60 * 24 * 7;setcookie( auth , $identifier:$token , $timeout);?
當一個用戶使用了一個永久登錄cookie的情況下��,你可以通過是否符合幾個標準來檢查:
代碼如下:
?php/* mysql_connect() *//* mysql_select_db() */$clean = array();$mysql = array();$now = time();$salt = SHIFLETT list($identifier, $token) = explode( : , $_COOKIE[ auth if (ctype_alnum($identifier) ctype_alnum($token)) $clean[ identifier ] = $identifier; $clean[ token ] = $token; /* ... */$mysql[ identifier ] = mysql_real_escape_string($clean[ identifier $sql = SELECT username, token, timeout FROM users WHERE identifier = {$mysql[ identifier ]} if ($result = mysql_query($sql)) if (mysql_num_rows($result)) $record = mysql_fetch_assoc($result); if ($clean[ token ] != $record[ token ]) /* Failed Login (wrong token) */ elseif ($now $record[ timeout ]) /* Failed Login (timeout) */ elseif ($clean[ identifier ] != md5($salt . md5($record[ username ] . $salt))) /* Failed Login (invalid identifier) */ else /* Successful Login */ else /* Failed Login (invalid identifier) */ /* Error */? 你應該堅持從三個方面來限制永久登錄cookie的使用����。
1.html' target='_blank'>Cookie需在一周內(或更少)過期
2.Cookie最好只能用于一次驗證(在一次成功驗證后即刪除或重新生成)
3.在服務器端限定cookie在一周(或更少)時間內過期
如果你想要用戶無限制的被記住,那只要是該用戶的訪問你的應用的頻度比過期時間更大的話��,簡單地在每次驗證后重新生成標識并設定一個新的cookie即可��。
另一個有用的原則是在用戶執行敏感操作前需要用戶提供密碼���。你只能讓永久登錄用戶訪問你的應用中不是特別敏感的功能�����。在執行一些敏感操作前讓用戶手工進行驗證是不可替代的步驟�。
最后��,你需要確認登出系統的用戶是確實登出了���,這包括刪除永久登錄cookie:
代碼如下:
?phpsetcookie( auth , DELETED! , time());?
上例中����,cookie被無用的值填充并設為立即過期。這樣�,即使是由于一個用戶的時鐘不準而導致cookie保持有效的話,也能保證他有效地退出����。
總結:以上就是本篇文的全部內容�����,希望能對大家的學習有所幫助�����。
相關推薦:
PHP通過Ajax調用連接百度效果實現檢測網站是否聯網的功能
php針對字符串的遍歷與查找
PHP微信接口實現二維碼生成類
以上就是PHP中數據庫實現更安全的永久登錄����、記住我的功能的詳細內容,PHP教程
鄭重聲明:本文版權歸原作者所有����,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤��,請第一時間聯系我們修改或刪除�,多謝��。
