我必须做一个基本的登录系统来保护页面,并且我无法访问数据库,所以我将用户名和密码硬编码存储在 php 页面中。
我的问题是,这个登录系统能抵御攻击吗?我需要它保持大约1个月。
任何改进建议都会有所帮助。
该代码不在 Laravel 中,即使它看起来像。
用户名和密码当然会更改为更强的内容。
先感谢您。
<?php
class UserController {
private $username;
private $password;
private $isLoggedIn = false;
// Credentials
public function credentials() {
$credentials = array(
array(
"username" => "telekom",
"password" => "1234"
),
array(
"username" => "telekom2",
"password" => "1234"
)
);
return $credentials;
}
// Basic login
public function login() {
foreach ($this->credentials() as $credential) {
if ($this->username == $credential['username'] && $this->password == $credential['password']) {
Session::put('username', $this->username);
Session::put('password', $this->password);
$this->isLoggedIn = true;
}
}
}
// Get login status
public function isLoggedIn() {
return $this->isLoggedIn;
}
// Logout
public function logout() {
// Delete all sessions
Session::all();
redirect('/telekom/');
}
// Telekom
public function telekom() {
$form = new Form();
if (Input::get('logout') == 1) {
$this->logout();
}
// Post Data from login form
if (Input::has('username') || Input::has('password')) {
if (!$form->isCsrfValid()) {
$form->errors['CSRF'] = "CSRF Token";
} // CSRF protection is on, comment to disable
if (empty($form->errors)) {
$this->username = Input::get('username');
$this->password = Input::get('password');
// Check Login
$this->login();
if (!$this->isLoggedIn()) {
Session::put('login', 'Username and password do not match.');
} else {
redirect('/telekom/');
}
} else {
Session::put('login', '<p class="color-dark-red"><strong>Errors:</strong></p>
<p>' . $form->displayErrors($form->errors) . '</p>');
}
// Check if session has username and password
} elseif (Session::has('username') && Session::has('password')) {
$this->username = Session::get('username', false);
$this->password = Session::get('password', false);
// Check Login
$this->login();
}
}
}// EOF Class User
// Outside class
$user = new UserController();
// Outside class
if (!$user->isLoggedIn()) {
// display login form
} else {
// display protected content
}
?>
我的评论越来越长,所以我就把它们移到这里。我不建议您将用户名和密码放在同一个文件中。如果 PHP 无法处理该页面,它将以纯文本形式转储给用户。即使对于数据库连接(其中 un/pwd 几乎必须以纯文本形式存储),大多数人也不会将信息放在同一个文件中。
您有几个选择:
制作一个单独的 PHP 文件来设置 UN/PWD 变量,将其放置在服务器外部无法访问的位置,并将其包含在 index.php 中。在这种情况下,直到您要比较变量并让本地作用域尽快转储它时,我才会包含该文件。
由于这是基本的身份验证,您可以使用Apache内置的密码认证模块 https://wiki.apache.org/httpd/PasswordBasicAuth.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)