php登录失败的处理方法

这篇文章给大家分享的是有关PHP登录失败的处理方法的内容。小编觉得挺实用的，因此分享给大家做个参考，一起跟随小编过来看看吧。

php登录失败的处理方法：首先创建一个表负责记录用户登录的信息；然后从user_login_info表查询最近30分钟内有没有相关密码错误的记录；接着统计记录总条数是否达到设定的错误次数；最后设置登录密码错误次数限制即可。

PHP实现登录失败次数限制

登录密码错误次数限制

安全对每个网站的重要性，不言自明。 其中，登陆又是网站中比较容易受到攻击的一个地方，那么我们如何对登陆功能的安全性加强呢？

我们先来看一些知名的网站是如何做的

Github

GitHub网站同一个账号在同一个IP地址连续密码输错一定次数后，这个账号是会被锁定30分钟的。

github这么做的主要原因，我觉得主要基于以下考虑：

防止用户的账号密码被暴力破解

实现思路

既然这么多网站的登陆功能都这么个功能，那么具体如何实现的。下面，就具体说说。

思路

需要一个表(user_login_info)负责记录用户登录的信息，不管登录成功还是失败都记录。并且登陆失败还是成功需要能够区分开来。

每次登陆时，都先从user_login_info表查询最近30分钟内(这里假设密码错误次数达到5次后，禁用用户30分钟)有没有相关密码错误的记录，然后统计一下记录总条数是否达到设定的错误次数。

如果在相同IP下，同一个用户，在30分钟内密码错误次数达到设定的错误次数，就不让用户登录了。

【推荐：PHP视频教程】

具体代码与及表设计

表设计

user_login_info表

   CREATE TABLE `user_login_info` (       `id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT  NOT NULL,       `uid` int(10) UNSIGNED NOT NULL,       `ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP',       `logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP        COMMENT '用户登陆时间',       `pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态'        COMMENT '0 正确 2错误'    ) ENGINE=InnoDB DEFAULT CHARSET=utf8;user表(用户表)   CREATE TABLE `user` (      `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,      `name` varchar(100) NOT NULL COMMENT '用户名',      `email` varchar(100) NOT NULL,      `pass` varchar(255) NOT NULL,      `status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用',       PRIMARY key(id)    ) ENGINE=InnoDB DEFAULT CHARSET=utf8;核心代码<?php class Login{     protected $pdo;     public function __construct()    {        //链接数据库        $this->connectDB();    }     protected function connectDB()    {        $dsn = "mysql:host=localhost;dbname=demo;charset=utf8";        $this->pdo = new PDO($dsn, 'root', 'root');    }     //显示登录页    public function loginPage()    {          include_once('./html/login.html');     }     //接受用户数据做登录    public function handlerLogin()    {         $email = $_POST['email'];        $pass = $_POST['pass'];         //根据用户提交数据查询用户信息        $sql = "select id,name,pass,reg_time from user where email = ?";        $stmt = $this->pdo->prepare($sql);        $stmt->execute([$email]);         $userData = $stmt->fetch(\PDO::FETCH_ASSOC);         //没有对应邮箱        if ( empty($userData) ) {             echo '登录失败1';             echo '<meta Http-equiv="refresh" content="2;url=./login.php">';            exit;        }         //检查用户最近30分钟密码错误次数        $res = $this->checkPassWrongTime($userData['id']);         //错误次数超过限制次数        if ( $res === false ) {            echo '你刚刚输错很多次密码，为了保证账户安全，系统已经将您账号锁定30min';             echo '<meta http-equiv="refresh" content="2;url=./login.php">';            exit;        }          //判断密码是否正确        $isRightPass = passWord_verify($pass, $userData['pass']);         //登录成功        if ( $isRightPass ) {             echo '登录成功';            exit;        } else {             //记录密码错误次数            $this->recordPassWrongTime($userData['id']);             echo '登录失败2';            echo '<meta http-equiv="refresh" content="2;url=./login.php">';            exit;        }     }     //记录密码输出信息    protected function recordPassWrongTime($uid)    {         //ip2long()函数可以将IP地址转换成数字        $ip = ip2long( $_SERVER['REMOTE_ADDR'] );         $time = date('Y-m-d H:i:s');        $sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)";          $stmt = $this->pdo->prepare($sql);         $stmt->execute();    }         protected function checkPassWrongTime($uid, $min=30, $wTime=3)    {         if ( empty($uid) ) {             throw new \Exception("第一个参数不能为空");         }         $time = time();        $prevTime = time() - $min*60;         //用户所在登录ip        $ip = ip2long( $_SERVER['REMOTE_ADDR'] );          //pass_wrong_time_status代表用户输出了密码        $sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";         $stmt = $this->pdo->prepare($sql);         $stmt->execute();         $data = $stmt->fetchAll(\PDO::FETCH_ASSOC);          //统计错误次数        $wrongTime = count($data);         //判断错误次数是否超过限制次数        if ( $wrongTime > $wTime ) {            return false;        }         return $wrongTime;     }     public function __call($methodName, $params)    {         echo '访问的页面不存在','<a href="./login.php">返回登录页</a>';    }} $a = @$_GET['a']?$_GET['a']:'loginPage';  $login = new Login(); $login->$a();

感谢各位的阅读！关于“php登录失败的处理方法”这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，让大家可以学到更多知识，如果觉得文章不错，可以把它分享出去让更多的人看到吧！