我想限制失败的登录尝试。例如,如果特定用户尝试使用错误的用户名或密码登录 4 次,我应该第四次显示验证码,而不是阻止一段特定时间,并继续显示验证码,除非他提供有效的用户名和密码。用户成功登录后,登录尝试将重置为零。
从安全角度来看,检查用户名而不是 IP 地址的想法可行吗?这种方法可以在不使用数据库的情况下实现吗?因为我认为我不需要存储时间,因为我只会显示 recaptcha?
请发表您的意见。
您不想使用数据库来检查“登录失败次数”吗?然后只需使用 cookie 并检查它即可。当然,他们可以删除它,但这很麻烦。
However,我怀疑您已经从数据库中获取了用户名和密码,为什么不同时获取最后一次失败登录的次数呢?
if (isset($_POST['submit_login'])) {
if (isset($_POST['username']) && isset($_POST['password'])) {
$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);
// id = unique primary key
$rs = mysql_query('SELECT id,Username,Password,Failed_logins,IP_address FROM Users WHERE Username = '.$username.'');
$num = mysql_num_rows($rs);
if ($num > 0) {
// I would add a password hash here to $password, and check against the hashed Password from the database
// But let's check the clean passwords
$row = mysql_fetch_array($rs);
if ($password == $row['Password']) {
// Successful login, set session or whatever you need
// Reset failed logins
mysql_query('UPDATE Users SET Failed_logins = 0 WHERE id = '.$row['id'].'');
header('location: success.php');
} else {
// Failed password check
if ($row['Failed_logins'] > 3) {
// Redirect to captcha
header('location: captcha.php');
} else {
$ip = $_SERVER['REMOTE_ADDR'];
if ($row['IP_address'] != $ip) {
// New ip adress, reset failed logins
$failed_logins = 0;
} else {
// Increment failed logins
$failed_logins = $row['Failed_logins']+1;
}
mysql_query('UPDATE Users SET Failed_logins = '.$failed_logins.',IP_address = '.$ip.' WHERE id = '.$row['id'].' ');
} // End check Failed_logins > 3
}
} else {
// No such Username found in database
$error = 'no_such_username';
} // End username check from database
} else {
// Either username or password is missing
$error = 'incomplete_form';
} // end check for username and password
} // end main submit_login check
类似的事情。
EDIT:
这是非常旧的代码,我现在发现它有一些问题。但是,至少您应该始终使用 PDO(准备好的语句)在数据库中插入数据。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
