如何使用PHP密码保护网站并保持用户登录?

时间:2018-08-08 11:40:25

标签: php mysql cookies login login-script

我想使我的网站密码受保护。用户登录后,关闭窗口或浏览器时不应退出。为此,我将身份验证令牌存储为cookie。

这是我的代码:

<?php
// take $_COOKIE['user'] if it exist, else take $_POST['user']
if(isset($_COOKIE['user'])) {
    $user = $_COOKIE['user'];
} else {
    $user = $_POST['user'];
}

// get login data from database
if(isset($user)) {
$stmt = $pdo->prepare('SELECT user, password, authentication_token FROM users WHERE user = :user LIMIT 1;');
$stmt->execute(array(':user' => $user));
$results = $stmt->fetchAll();
foreach($results as $row) {
    $password = $row['password'];
    $authentication_token = $row['authentication_token'];
}
}

// set passwort and authentication token at first visit and login
if($password == "" && isset($_POST['user'], $_POST['password'])) {
$unique_authentication_token = hash('sha256', uniqid(rand().time(), true));
$statement = $pdo->prepare("UPDATE users SET password = :password, authentication_token = :authentication_token WHERE user = :user");
$statement->execute(array(':user' => $_POST['user'], ':password' => hash('sha256', $_POST['password']), ':authentication_token' => $unique_authentication_token));
setcookie("user", $_POST['user'], time()+(10*365*24*60*60));
setcookie("authentication_token", $unique_authentication_token, time()+(10*365*24*60*60));
unset($_POST);
header('location: https://www.example.com');
exit;
}

// show login form if no data or wrong data
if(!isset($_COOKIE['user']) || !isset($_COOKIE['authentication_token']) || $_COOKIE['authentication_token'] != $authentication_token) {
    $showLogin = 1;
}

// login
if(isset($_POST['user'], $_POST['password']) && hash('sha256', $_POST['password']) == $password) {
    setcookie("user", $_POST['user'], time()+(10*365*24*60*60));
    setcookie("authentication_token", $authentication_token, time()+(10*365*24*60*60));
    unset($_POST);
    header('location: https://www.example.com');
    exit;
}

// login form
if($showLogin == 1) {
echo "
<form action=\"\" method=\"post\">
<select name=\"user\">
<option>George</option>
<option>Harald</option>
<option>Peter</option>
</select>
<input type=\"password\" name=\"password\" placeholder=\"Password\">
</form>
";
exit;
}
?>

这是正确的做法吗?您能看到任何弱势群体吗?我能做得更好吗?

1 个答案:

答案 0 :(得分:0)

Sakezz的评论很困惑。

是的,使用盐腌的哈希比未加盐的哈希要好得多,但是SHA比MD5安全得多。但是php带有password_hash()函数(和a whole chapter in the manual),该函数可以为您完成所有巧妙的工作,允许使用更好的哈希值,并简化了向新哈希机制的迁移。

您正在使用的身份验证令牌可以被撤销并且实际上是随机的。很好-尽管用户一次不能登录多个设备。您是否提供用户注销的机制? (这很重要)。

您正在使用参数绑定进行查询,这仍然很好,但是一种更好的安全性方法是使用具有特权分散性的存储过程-并且您所连接的帐户不应对该表具有读/写访问权限。 / p>

编码风格还可以,但是除非您有坚持的理由,否则我建议使用psr-1&2

相关问题
最新问题