|
|
昨天没有午休,搞了一下午居然没搞明白,今天半个小时搞定了,看来还是早上效率高,看了午休还是必须的
进入正题,有注册系统的网站当然必须有安全机制 ,概述如下
1.登陆 需要检测用户的合法性
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
<?php session_start(); include("conn/conn.php");?>
<?php
function clearSession(){//清楚SESSION方法
session_start(); //启动会话
session_unset(); //删除会话
session_destroy(); //结束会话
}
$username=$_POST['username'];
$password=$_POST['password'];
$auth='common';
$res=mysql_query("select password,auth from userinfo where username='$username'");
if($row=mysql_fetch_array($res)){
$base_password=$row[0];
$base_auth=$row[1];
if($base_password==$password){
echo "登陆成功!";
$url = "main.php"; //可以写成一句,但是这样比较符号html的 结构
echo "<script language='javascript'type='text/javascript'>";
echo "window.location.href='$url'";
echo "</script>";
$_SESSION['username'] = $username;//注册username的SESSION
}else{
clearSession();//如果有SESSION也要清除
echo "密码错误!";
echo "<script language='javascript'>alert(\"密码错误!!\");</script>";
$url = "login.html";
echo "<script language='javascript'type='text/javascript'>";
echo "window.location.href='$url'";
echo "</script>";
}
}else{
clearSession();
echo "用户名不存在!";
echo "<script language='javascript'>alert(\"用户名不存在!!\");</script>";
$url = "login.html";
echo "<script language='javascript'type='text/javascript'>";
echo "window.location.href='$url'";
echo "</script>";
}
?>
2.在主页要检测是否登陆过,其实就是检测上面的username是否存在(当然也可以是密码+用户名),这个文件只要使用include 放到想要检测登陆的页面就可以了
<?php
session_start();
if($_SESSION[username]==""){
echo "<script>alert('请登录!');window.location.href='login.html';</script>";
}
?>
使用:<?php session_start();include "check_login.php";?>
3.如果要执行退出 那么先执行
<?php
session_start(); //启动会话
session_unset(); //删除会话
session_destroy(); //结束会话
header("location:login.html");
?>
删除SESSION ,跳转到login.html
这个只是简单的实现 ,估计真正的应用网站应该不会这么简单 ,这样的安全机制太容易攻破,好一点的方法是在检查登陆那里 实现查询数据库的操作,当然这样就要耗费cpu资源了 |
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2017-4-11 10:09:47
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡