关于StackOverflow的许多问题,关于保护用户/密码表单,安全管理部分。
在这篇文章中,我创建了一个简单的用户密码表单。
我希望使用最佳实践并提高此表单的安全性。
特殊性:
- 没有数据库
- 仅 1 个用户/密码
- 1 个简单的安全页面
我知道我们错过了蛮力系统,但没有此功能,
(没有 MYSQL 或数据库)
** 这个例子有效
if(isset($_POST) && isset($_POST["send"])):
$username = isset($_POST['username'])?$_POST['username']:'';
$password = isset($_POST['password'])?$_POST['password']:'';
$username = strip_tags( trim( $username ));
$password = strip_tags( trim( $password ));
if(preg_match('/^[a-z'd_]{4}$/i', $username) && $username=='user' && preg_match('/^[a-z'd_]{8}$/i', $password) && $password=="password"):
$_SESSION["login"] = 1;
else:
unset($_SESSION["login"]);
endif;
endif;
if(!isset($_SESSION['login']) || !$_SESSION['login']):
?>
<form class="login" action="<?php echo "http://" . $_SERVER["SERVER_NAME"] . $a; ?>" method="post">
<input type="text" name="username" placeholder="username" /><br>
<input type="password" name="password" placeholder="password" /><br>
<button name="send"><span>Send</span></button>
</form>
<?php else: ?>
<p>Win !</p>
<?php endif; ?>
1)创建一个随机字符串
2)使用phpass library加密数据。将其存储在数组中。
https://phpbestpractices.org/#passwords
3)并在验证时检查阵列中是否存在加密密码。
注意:这纯粹适用于您所描述的场景,但不推荐
只要摆脱你放入的所有毫无意义的东西
session_start();
if(isset($_POST['password']) && $_POST['password'] == 'pass')
{
$_SESSION["login"] = 1;
}
if(empty($_SESSION['login'])):
?>
<form class="login" method="post">
<input type="password" name="password" placeholder="password" />
<button name="send"><span>Send</span></button>
</form>
<?php exit; endif; ?>