限制失败的登录尝试次数

如何解决限制失败的登录尝试次数

| 我想限制失败的登录尝试。例如，如果特定用户尝试使用错误的用户名或密码登录4次，则我应该第4次显示CAPTCHA，而不是在特定时间段内阻止登录，并且除非他提供有效的用户名和密码，否则请继续显示CAPTCHA。用户成功登录后，登录尝试将重置为零。从安全角度来看，检查用户名而不是IP地址的想法是否可行？是否可以在不使用数据库的情况下实现这种方法？因为我认为不需要显示时间，因为我只会显示Recaptcha吗？请发表您的意见。

解决方法

您是否不想使用数据库来进行“失败的登录次数”检查？然后，使用Cookie进行检查。当然，他们可以删除它，但这很麻烦。但是，我怀疑您已经从数据库中获取了用户名和密码，为什么不访问数据库时也获取失败登录的最新次数？

if (isset($_POST[\'submit_login\'])) {

    if (isset($_POST[\'username\']) && isset($_POST[\'password\'])) {
        $username = mysql_real_escape_string($_POST[\'username\']);
        $password = mysql_real_escape_string($_POST[\'password\']);
        // id = unique primary key
        $rs = mysql_query(\'SELECT id,Username,Password,Failed_logins,IP_address FROM Users WHERE Username = \'.$username.\'\');
        $num = mysql_num_rows($rs);
        if ($num > 0) {
            // I would add a password hash here to $password,and check against the hashed Password from the database
            // But let\'s check the clean passwords
            $row = mysql_fetch_array($rs);
            if ($password == $row[\'Password\']) {
                // Successful login,set session or whatever you need
                // Reset failed logins
                mysql_query(\'UPDATE Users SET Failed_logins = 0 WHERE id = \'.$row[\'id\'].\'\');
                header(\'location: success.php\');
            } else {
                // Failed password check
                if ($row[\'Failed_logins\'] > 3) {
                    // Redirect to captcha
                    header(\'location: captcha.php\');
                } else {
                    $ip = $_SERVER[\'REMOTE_ADDR\'];
                    if ($row[\'IP_address\'] != $ip) {
                        // New ip adress,reset failed logins
                        $failed_logins = 0;
                    } else {
                        // Increment failed logins
                        $failed_logins = $row[\'Failed_logins\']+1;
                    }
                    mysql_query(\'UPDATE Users SET Failed_logins = \'.$failed_logins.\',IP_address = \'.$ip.\' WHERE id = \'.$row[\'id\'].\' \');
                } // End check Failed_logins > 3
            }
        } else {
            // No such Username found in database
            $error = \'no_such_username\';
        } // End username check from database

    } else {
        // Either username or password is missing
        $error = \'incomplete_form\';
    } // end check for username and password

} // end main submit_login check

这样的东西。编辑：这确实是旧代码，现在我看到了一些问题。但是，至少您应该始终使用PDO（准备好的语句）在数据库中插入数据。 , 你保护什么？仅限用户的随机内容，用户名。银行信息（我怀疑..）或其他敏感数据，如果您使用范围，则IP可能没问题。您是在问怎么做，还是应该使用？ , 您确实需要时间，否则如何确定登录尝试是否已过期？如果我在10年的时间内无法登录4次，将会被阻止。您想阻止那些在短时间内尝试多次登录的用户。我建议您使用数据库-因为您将同时保留详细的登录历史记录。但是基于内存的解决方案（例如memcached）也足够了。详细说明要实现的安全性：结合！合并使用的用户名和IP地址，并将它们存储到数据库中。使用用户名上的登录尝试可直接保护用户免遭尝试。使用ip地址信息仅观察检测，并在需要时采取措施。 , 您应将尝试保存在数据库中并检查用户。 , 最好的方法是使用数据库。您需要在数据库中创建一个单独的表，该表将存储三个变量：（a）IP地址（该人尝试登录的位置）（b）登录尝试次数（c）日期/时间（或：当前时间戳记）这种方法唯一的问题是第一个变量：IP地址如果此人在网吧中怎么办？还是使用公共Wi-fi？还是热点？还是学校？办公室？等等如果您阻止IP地址，它将影响尝试从该位置登录您的网站的每个人。如果您的网站涉及银行，军事设施或五角大楼，这不是问题。但是，如果您的网站是一家公司（买卖，游戏等），那么屏蔽特定地址只会惹恼您的客户！

限制失败的登录尝试次数

如何解决限制失败的登录尝试次数

解决方法

相关推荐