免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

用戶登錄驗(yàn)證方案：

在保存用戶名和密碼的數(shù)據(jù)表中加入三個(gè)字段：第二身份標(biāo)識(identifier)，永久登錄標(biāo)識(token)，以及一個(gè)永久登錄超時(shí)時(shí)間(timeout)。

mysql> DESCRIBE users;

  +------------+------------------+------+-----+---------+-------+

  | Field      | Type             | Null | Key | Default | Extra |

  +------------+------------------+------+-----+---------+-------+

  | username   | varchar(25)      |      | PRI |         |       |

  | password   | varchar(32)      | YES  |     | NULL    |       |

  | identifier | varchar(32)      | YES  | MUL | NULL    |       |

  | token      | varchar(32)      | YES  |     | NULL    |       |

  | timeout    | int(10) unsigned | YES  |     | NULL    |       |

  +------------+------------------+------+-----+---------+-------+

  通過產(chǎn)生并保存一個(gè)第二身份標(biāo)識與永久登錄標(biāo)識，你就可以建立一個(gè)不包含任何用戶驗(yàn)證信息的cookie。

CODE:

  <?php

  $salt = ‘SHIFLETT‘;// 可

  $identifier = md5($salt . md5($username . $salt));

  $token = md5(uniqid(rand(), TRUE));

  $timeout = time() + 60 * 60 * 24 * 7;

  setcookie(‘a(chǎn)uth‘, "$identifier:$token", $timeout);

  ?>

當(dāng)一個(gè)用戶使用了一個(gè)永久登錄cookie的情況下，你可以通過是否符合幾個(gè)標(biāo)準(zhǔn)來檢查：

CODE:

 <?php

  /* mysql_connect() */

  /* mysql_select_db() */

  $clean = array();

  $mysql = array();

  $now = time();

  $salt = ‘SHIFLETT‘;

  list($identifier, $token) = explode(‘:‘, $_COOKIE[‘a(chǎn)uth‘]);

  if (ctype_alnum($identifier) && ctype_alnum($token))

  {

    $clean[‘identifier‘] = $identifier;

    $clean[‘token‘] = $token;

  }

  else

  {

    /* ... */

  }

  $mysql[‘identifier‘] = mysql_real_escape_string($clean[‘identifier‘]);

  $sql = "SELECT username, token, timeout

          FROM   users

          WHERE  identifier = ‘{$mysql[‘identifier‘]}‘";

  if ($result = mysql_query($sql))

  {

    if (mysql_num_rows($result))

    {

      $record = mysql_fetch_assoc($result);

      if ($clean[‘token‘] != $record[‘token‘])

      {

        /* Failed Login (wrong token) */

      }

      elseif ($now > $record[‘timeout‘])

      {

        /* Failed Login (timeout) */

      }

      elseif ($clean[‘identifier‘] !=

              md5($salt . md5($record[‘username‘] . $salt)))

      {

        /* Failed Login (invalid identifier) */

      }

      else

      {

        /* Successful Login */

      }

    }

    else

    {

      /* Failed Login (invalid identifier) */

    }

  }

  else

  {

    /* Error */

  }

  ?>

你應(yīng)該堅(jiān)持從三個(gè)方面來限制永久登錄cookie的使用。

l        Cookie需在一周內(nèi)（或更少）過期

l        Cookie最好只能用于一次驗(yàn)證（在一次成功驗(yàn)證后即刪除或重新生成）

l        在服務(wù)器端限定cookie在一周（或更少）時(shí)間內(nèi)過期

  如果你想要用戶無限制的被記住，那只要是該用戶的訪問你的應(yīng)用的頻度比過期時(shí)間更大的話，簡單地在每次驗(yàn)證后重新生成標(biāo)識并設(shè)定一個(gè)新的cookie即可。

  另一個(gè)有用的原則是在用戶執(zhí)行敏感操作前需要用戶提供密碼。你只能讓永久登錄用戶訪問你的應(yīng)用中不是特別敏感的功能。在執(zhí)行一些敏感操作前讓用戶手工進(jìn)行驗(yàn)證是不可替代的步驟。

  最后，你需要確認(rèn)登出系統(tǒng)的用戶是確實(shí)登出了，這包括刪除永久登錄cookie：

CODE:

  <?php

  setcookie(‘a(chǎn)uth‘, ‘DELETED!‘, time());

  ?>

上例中，cookie被無用的值填充并設(shè)為立即過期。這樣，即使是由于一個(gè)用戶的時(shí)鐘不準(zhǔn)而導(dǎo)致cookie保持有效的話，也能保證他有效地退出。