php实现登录失败次数限制

12 / Jan / 2022 PM Note 7

php实现登录失败次数限制的案例:1、创建一个表用于负责记录用户登录的信息;2、查看密码错误的记录;3、在相同IP下,同一个用户在30分钟内密码错误次数达到设定的错误次数,就不让用户登录。

php实现登录失败次数限制

思路:

  • 需要一个表(user_login_info)负责记录用户登录的信息,不管登录成功还是失败都记录。并且登陆失败还是成功需要能够区分开来。
  • 每次登陆时,都先从user_login_info表查询最近30分钟内(这里假设密码错误次数达到5次后,禁用用户30分钟)有没有相关密码错误的记录,然后统计一下记录总条数是否达到设定的错误次数。
  • 如果在相同IP下,同一个用户,在30分钟内密码错误次数达到设定的错误次数,就不让用户登录了。

表设计:

user_login_info表

CREATE TABLE `user_login_info` (
    `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT  NOT NULL,
    `uid` int(10) UNSIGNED NOT NULL,
    `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP',
    `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
    COMMENT '用户登陆时间',
    `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态'
    COMMENT '0 正确 2错误'
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

user表(用户表)

CREATE TABLE `user` (
   `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
   `name` varchar(100) NOT NULL COMMENT '用户名',
   `email` varchar(100) NOT NULL,
   `pass` varchar(255) NOT NULL,
   `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用',
    PRIMARY key(id)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

代码:

<?php
/**
 * @Author: TIM
 * @Date:   2022-01-12 14:31:12
 * @Email:  61468384@qq.com
 * @Blog:   http://www.tim-blog.com
 * @Desc:   简单即是美 Simple is beautiful...
 * @Last Modified by:   1
 * @Last Modified time: 2022-01-12 14:34:57
 */
class Login {
	protected $pdo;
	public function __construct() {
		//链接数据库
		$this->connectDB();
	}
	protected function connectDB() {
		$dsn = "mysql:host=localhost;dbname=demo;charset=utf8";
		$this->pdo = new PDO($dsn, 'root', 'root');
	}
	//显示登录页
	public function loginPage() {
		include_once('./html/login.html');
	}
	//接受用户数据做登录
	public function handlerLogin() {
		$email = $_POST['email'];
		$pass = $_POST['pass'];
		//根据用户提交数据查询用户信息
		$sql = "select id,name,pass,reg_time from user where email = ?";
		$stmt = $this->pdo->prepare($sql);
		$stmt->execute([$email]);
		$userData = $stmt->fetch(\PDO::FETCH_ASSOC);
		//没有对应邮箱
		if ( empty($userData) ) {
			echo '登录失败1';
			echo '';
			exit;
		}
		//检查用户最近30分钟密码错误次数
		$res = $this->checkPassWrongTime($userData['id']);
		//错误次数超过限制次数
		if ( $res === false ) {
			echo '你刚刚输错很多次密码,为了保证账户安全,系统已经将您账号锁定30min';
			echo '';
			exit;
		}
		//判断密码是否正确
		$isRightPass = password_verify($pass, $userData['pass']);
		//登录成功
		if ( $isRightPass ) {
			echo '登录成功';
			exit;
		} else {
			//记录密码错误次数
			$this->recordPassWrongTime($userData['id']);
			echo '登录失败2';
			echo '';
			exit;
		}
	}
	//记录密码输出信息
	protected function recordPassWrongTime($uid) {
		//ip2long()函数可以将IP地址转换成数字
		$ip = ip2long( $_SERVER['REMOTE_ADDR'] );
		$time = date('Y-m-d H:i:s');
		$sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)";
		$stmt = $this->pdo->prepare($sql);
		$stmt->execute();
	}
	/**
     * 检查用户最近$min分钟密码错误次数
     * $uid 用户ID
     * $min  锁定时间
     * $wTIme 错误次数
     * @return 错误次数超过返回false,其他返回错误次数,提示用户
     */
	protected function checkPassWrongTime($uid, $min=30, $wTime=3) {
		if ( empty($uid) ) {
			throw new \Exception("第一个参数不能为空");
		}
		$time = time();
		$prevTime = time() - $min*60;
		//用户所在登录ip
		$ip = ip2long( $_SERVER['REMOTE_ADDR'] );
		//pass_wrong_time_status代表用户输出了密码
		$sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";
		$stmt = $this->pdo->prepare($sql);
		$stmt->execute();
		$data = $stmt->fetchAll(\PDO::FETCH_ASSOC);
		//统计错误次数
		$wrongTime = count($data);
		//判断错误次数是否超过限制次数
		if ( $wrongTime > $wTime ) {
			return false;
		}
		return $wrongTime;
	}
	public function __call($methodName, $params) {
		echo '访问的页面不存在','返回登录页';
	}
}
$a = @$_GET['a']?$_GET['a']:'loginPage';
$login = new Login();
$login->$a();

发布评论