如何解决限制失败的登录尝试次数
| 我想限制失败的登录尝试。例如,如果特定用户尝试使用错误的用户名或密码登录4次,则我应该第4次显示CAPTCHA,而不是在特定时间段内阻止登录,并且除非他提供有效的用户名和密码,否则请继续显示CAPTCHA。用户成功登录后,登录尝试将重置为零。 从安全角度来看,检查用户名而不是IP地址的想法是否可行?是否可以在不使用数据库的情况下实现这种方法?因为我认为不需要显示时间,因为我只会显示Recaptcha吗? 请发表您的意见。解决方法
您是否不想使用数据库来进行“失败的登录次数”检查?然后,使用Cookie进行检查。当然,他们可以删除它,但这很麻烦。
但是,我怀疑您已经从数据库中获取了用户名和密码,为什么不访问数据库时也获取失败登录的最新次数?
if (isset($_POST[\'submit_login\'])) {
if (isset($_POST[\'username\']) && isset($_POST[\'password\'])) {
$username = mysql_real_escape_string($_POST[\'username\']);
$password = mysql_real_escape_string($_POST[\'password\']);
// id = unique primary key
$rs = mysql_query(\'SELECT id,Username,Password,Failed_logins,IP_address FROM Users WHERE Username = \'.$username.\'\');
$num = mysql_num_rows($rs);
if ($num > 0) {
// I would add a password hash here to $password,and check against the hashed Password from the database
// But let\'s check the clean passwords
$row = mysql_fetch_array($rs);
if ($password == $row[\'Password\']) {
// Successful login,set session or whatever you need
// Reset failed logins
mysql_query(\'UPDATE Users SET Failed_logins = 0 WHERE id = \'.$row[\'id\'].\'\');
header(\'location: success.php\');
} else {
// Failed password check
if ($row[\'Failed_logins\'] > 3) {
// Redirect to captcha
header(\'location: captcha.php\');
} else {
$ip = $_SERVER[\'REMOTE_ADDR\'];
if ($row[\'IP_address\'] != $ip) {
// New ip adress,reset failed logins
$failed_logins = 0;
} else {
// Increment failed logins
$failed_logins = $row[\'Failed_logins\']+1;
}
mysql_query(\'UPDATE Users SET Failed_logins = \'.$failed_logins.\',IP_address = \'.$ip.\' WHERE id = \'.$row[\'id\'].\' \');
} // End check Failed_logins > 3
}
} else {
// No such Username found in database
$error = \'no_such_username\';
} // End username check from database
} else {
// Either username or password is missing
$error = \'incomplete_form\';
} // end check for username and password
} // end main submit_login check
这样的东西。
编辑:
这确实是旧代码,现在我看到了一些问题。但是,至少您应该始终使用PDO(准备好的语句)在数据库中插入数据。
, 你保护什么?
仅限用户的随机内容,用户名。
银行信息(我怀疑..)或其他敏感数据,如果您使用范围,则IP可能没问题。
您是在问怎么做,还是应该使用?
, 您确实需要时间,否则如何确定登录尝试是否已过期?如果我在10年的时间内无法登录4次,将会被阻止。您想阻止那些在短时间内尝试多次登录的用户。
我建议您使用数据库-因为您将同时保留详细的登录历史记录。但是基于内存的解决方案(例如memcached)也足够了。
详细说明要实现的安全性:结合!
合并使用的用户名和IP地址,并将它们存储到数据库中。
使用用户名上的登录尝试可直接保护用户免遭尝试。
使用ip地址信息仅观察检测,并在需要时采取措施。
, 您应将尝试保存在数据库中并检查用户。
, 最好的方法是使用数据库。
您需要在数据库中创建一个单独的表,该表将存储三个变量:
(a)IP地址(该人尝试登录的位置)
(b)登录尝试次数
(c)日期/时间(或:当前时间戳记)
这种方法唯一的问题是第一个变量:IP地址
如果此人在网吧中怎么办?还是使用公共Wi-fi?还是热点?还是学校?办公室?等等
如果您阻止IP地址,它将影响尝试从该位置登录您的网站的每个人。
如果您的网站涉及银行,军事设施或五角大楼,这不是问题。
但是,如果您的网站是一家公司(买卖,游戏等),那么屏蔽特定地址只会惹恼您的客户!
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。