PHP实现登录失败次数限制

登录密码错误次数限制

安全对每个网站的重要性，不言自明。

 其中，登陆又是网站中比较容易受到攻击的一个地方，那么我们如何对登陆功能的安全性加强呢？

我们先来看一些知名的网站是如何做的

Github
Github网站同一个账号在同一个IP地址连续密码输错一定次数后，这个账号是会被锁定30分钟的。

Github这么做的主要原因，我觉得主要基于以下考虑：
防止用户的账号密码被暴力破解

实现思路

既然这么多网站的登陆功能都这么个功能，那么具体如何实现的。下面，就具体说说。

思路

需要一个表(

user_login_info

)负责记录用户登录的信息，不管登录成功还是失败都记录。并且登陆失败还是成功需要能够区分开来。

每次登陆时，都先从

user_login_info表

查询最近30分钟内(这里假设密码错误次数达到5次后，禁用用户30分钟)有没有相关密码错误的记录，然后统计一下记录总条数是否达到设定的错误次数。

如果在相同IP下，同一个用户，在30分钟内密码错误次数达到设定的错误次数，就不让用户登录了。

具体代码与及表设计

表设计

user_login_info表

CREATE TABLE `user_login_info` (
`id` int(10) UNSIGNED PRIMARY KEY AUTO_INCREMENT  NOT NULL,
`uid` int(10) UNSIGNED NOT NULL,
`ipaddr` int(10) UNSIGNED NOT NULL COMMENT '用户登陆IP',
`logintime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
COMMENT '用户登陆时间',
`pass_wrong_time_status` tinyint(10) UNSIGNED NOT NULL COMMENT '登陆密码错误状态'
COMMENT '0 正确 2错误'
) ENGINE=InnoDB DEFAULT CHARSET=u
b21f
tf8;

user表(用户表)

CREATE TABLE `user` (
`id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
`name` varchar(100) NOT NULL COMMENT '用户名',
`email` varchar(100) NOT NULL,
`pass` varchar(255) NOT NULL,
`status` tinyint(3) UNSIGNED NOT NULL DEFAULT '1' COMMENT '1启用 2禁用',
PRIMARY key(id)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

核心代码

<?php

class Login
{

protected $pdo;

public function __construct()
{
//链接数据库
$this->connectDB();
}

protected function connectDB()
{
$dsn = "mysql:host=localhost;dbname=demo;charset=utf8";
$this->pdo = new PDO($dsn, 'root', 'root');
}

//显示登录页
public function loginPage()
{
include_once('./html/login.html');

}

//接受用户数据做登录
public function handlerLogin()
{

$email = $_POST['email'];
$pass = $_POST['pass'];

//根据用户提交数据查询用户信息
$sql = "select id,name,pass,reg_time from user where email = ?";
$stmt = $this->pdo->prepare($sql);
$stmt->execute([$email]);

$userData = $stmt->fetch(\PDO::FETCH_ASSOC);

//没有对应邮箱
if ( empty($userData) ) {

echo '登录失败1';

echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}

//检查用户最近30分钟密码错误次数
$res = $this->checkPassWrongTime($userData['id']);

//错误次数超过限制次数
if ( $res === false ) {
echo '你刚刚输错很多次密码，为了保证账户安全，系统已经将您账号锁定30min';

echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}

//判断密码是否正确
$isRightPass = password_verify($pass, $userData['pass']);

//登录成功
if ( $isRightPass ) {

echo '登录成功';
exit;
} else {

//记录密码错误次数
$this->recordPassWrongTime($userData['id']);

echo '登录失败2';
echo '<meta http-equiv="refresh" content="2;url=./login.php">';
exit;
}

}

//记录密码输出信息
protected function recordPassWrongTime($uid)
{

//ip2long()函数可以将IP地址转换成数字
$ip = ip2long( $_SERVER['REMOTE_ADDR'] );

$time = date('Y-m-d H:i:s');
$sql = "insert into user_login_info(uid,ipaddr,logintime,pass_wrong_time_status) values($uid,$ip,'{$time}',2)";

$stmt = $this->pdo->prepare($sql);

$stmt->execute();
}

/**
* 检查用户最近$min分钟密码错误次数
* $uid 用户ID
* $min  锁定时间
* $wTIme 错误次数
* @return 错误次数超过返回false,其他返回错误次数，提示用户
*/
protected function checkPassWrongTime($uid, $min=30, $wTime=3)
{

if ( empty($uid) ) {

throw new \Exception("第一个参数不能为空");

}

$time = time();
$prevTime = time() - $min*60;

//用户所在登录ip
$ip = ip2long( $_SERVER['REMOTE_ADDR'] );

//pass_wrong_time_status代表用户输出了密码
$sql = "select * from user_login_info where uid={$uid} and pass_wrong_time_status=2 and UNIX_TIMESTAMP(logintime) between $prevTime and $time and ipaddr=$ip";

$stmt = $this->pdo->prepare($sql);

$stmt->execute();

$data = $stmt->fetchAll(\PDO::FETCH_ASSOC);

//统计错误次数
$wrongTime = count($data);

//判断错误次数是否超过限制次数
if ( $wrongTime > $wTime ) {
return false;
}

return $wrongTime;

}

public function __call($methodName, $params)
{

echo '访问的页面不存在','<a href="./login.php">返回登录页</a>';
}
}

$a = @$_GET['a']?$_GET['a']:'loginPage';

$login = new Login();

$login->$a();