限制失败的登录尝试次数

| 我想限制失败的登录尝试。例如,如果特定用户尝试使用错误的用户名或密码登录4次,则我应该第4次显示CAPTCHA,而不是在特定时间段内阻止登录,并且除非他提供有效的用户名和密码,否则请继续显示CAPTCHA。用户成功登录后,登录尝试将重置为零。 从安全角度来看,检查用户名而不是IP地址的想法是否可行?是否可以在不使用数据库的情况下实现这种方法?因为我认为不需要显示时间,因为我只会显示Recaptcha吗? 请发表您的意见。     
2020-02-29 6 条评论
分享

没有找到相关结果

    已邀请:

    糕泰灌

            您是否不想使用数据库来进行“失败的登录次数”检查?然后,使用Cookie进行检查。当然,他们可以删除它,但这很麻烦。 但是,我怀疑您已经从数据库中获取了用户名和密码,为什么不访问数据库时也获取失败登录的最新次数? 
    if (isset($_POST[\'submit_login\'])) {

    if (isset($_POST[\'username\']) && isset($_POST[\'password\'])) {
        $username = mysql_real_escape_string($_POST[\'username\']);
        $password = mysql_real_escape_string($_POST[\'password\']);
        // id = unique primary key
        $rs = mysql_query(\'SELECT id,Username,Password,Failed_logins,IP_address FROM Users WHERE Username = \'.$username.\'\');
        $num = mysql_num_rows($rs);
        if ($num > 0) {
            // I would add a password hash here to $password, and check against the hashed Password from the database
            // But let\'s check the clean passwords
            $row = mysql_fetch_array($rs);
            if ($password == $row[\'Password\']) {
                // Successful login, set session or whatever you need
                // Reset failed logins
                mysql_query(\'UPDATE Users SET Failed_logins = 0 WHERE id = \'.$row[\'id\'].\'\');
                header(\'location: success.php\');
            } else {
                // Failed password check
                if ($row[\'Failed_logins\'] > 3) {
                    // Redirect to captcha
                    header(\'location: captcha.php\');
                } else {
                    $ip = $_SERVER[\'REMOTE_ADDR\'];
                    if ($row[\'IP_address\'] != $ip) {
                        // New ip adress, reset failed logins
                        $failed_logins = 0;
                    } else {
                        // Increment failed logins
                        $failed_logins = $row[\'Failed_logins\']+1;
                    }
                    mysql_query(\'UPDATE Users SET Failed_logins = \'.$failed_logins.\',IP_address = \'.$ip.\' WHERE id = \'.$row[\'id\'].\' \');
                } // End check Failed_logins > 3
            }
        } else {
            // No such Username found in database
            $error = \'no_such_username\';
        } // End username check from database

    } else {
        // Either username or password is missing
        $error = \'incomplete_form\';
    } // end check for username and password

} // end main submit_login check
    这样的东西。 编辑: 这确实是旧代码,现在我看到了一些问题。但是,至少您应该始终使用PDO(准备好的语句)在数据库中插入数据。     
    2020-02-29 0 0
    分享

    蕉衫

            你保护什么? 仅限用户的随机内容,用户名。 银行信息(我怀疑..)或其他敏感数据,如果您使用范围,则IP可能没问题。 您是在问怎么做,还是应该使用?     
    2020-02-29 0 0
    分享

    谷靛

            您确实需要时间,否则如何确定登录尝试是否已过期?如果我在10年的时间内无法登录4次,将会被阻止。您想阻止那些在短时间内尝试多次登录的用户。 我建议您使用数据库-因为您将同时保留详细的登录历史记录。但是基于内存的解决方案(例如memcached)也足够了。 详细说明要实现的安全性:结合! 合并使用的用户名和IP地址,并将它们存储到数据库中。 使用用户名上的登录尝试可直接保护用户免遭尝试。 使用ip地址信息仅观察检测,并在需要时采取措施。     
    2020-02-29 0 0
    分享

    裸雷胜檀哭

            您应将尝试保存在数据库中并检查用户。     
    2020-02-29 0 0
    分享

    苏髓骗撩

            最好的方法是使用数据库。 您需要在数据库中创建一个单独的表,该表将存储三个变量: (a)IP地址(该人尝试登录的位置) (b)登录尝试次数 (c)日期/时间(或:当前时间戳记) 这种方法唯一的问题是第一个变量:IP地址 如果此人在网吧中怎么办?还是使用公共Wi-fi?还是热点?还是学校?办公室?等等 如果您阻止IP地址,它将影响尝试从该位置登录您的网站的每个人。 如果您的网站涉及银行,军事设施或五角大楼,这不是问题。 但是,如果您的网站是一家公司(买卖,游戏等),那么屏蔽特定地址只会惹恼您的客户!     
    2020-02-29 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.059238910675049