PHP और MySQL का उपयोग करके एक सुरक्षित लॉगिन स्क्रिप्ट कैसे बनाएं

समारोह लॉगिन ($ ईमेल, $ पासवर्ड, $ mysqli) {// एसक्यूएल बयान का उपयोग करते हुए `तैयार` हमले injection.if किसी SQL प्रकार ($ stmt = $ mysqli- लागू नहीं होगा>तैयार ("चुनें आईडी, यूज़रनेम, पासवर्ड, नमक सदस्यों से जहां ईमेल =? LIMIT 1")) {$ stmt->bind_param (`s`, $ email) - // पैरामीटर `$ email` को बांधता है। $ stmt->execute () - // नव निर्मित क्वेरी को निष्पादित करता है। $ stmt->store_result () - $ stmt->bind_result ($ user_id, $ username, $ db_password, $ नमक) - // क्वेरी का परिणाम पुनर्प्राप्त करता है और इसे अपने चर में संग्रहीत करता है। $ stmt->fetch () - $ password = hash (`sha512`, $ पासवर्ड। $ नमक) - // एक अनन्य कुंजी का उपयोग करके पासवर्ड को एन्क्रिप्ट करता है .if ($ stmt->NUM_ROWS == 1) {// यदि उपयोगकर्ता // हम जांच लेंगे कि वहाँ भी कई एक्सेस के प्रयास errati.if (checkbrute ($ user_id, $ mysqli) == सच) के निष्पादन निम्नलिखित अक्षम नहीं है {// खाता विकलांग // आप और चेतावनी है कि आपके खाते disabilitato.return कर दिया गया है FALSE-} एक ईमेल भेजें {if ($ db_password == $ पासवर्ड) {// कि पासवर्ड डेटाबेस में संग्रहीत द्वारा प्रदान पासवर्ड से मेल खाता है की जाँच करें `उपयोगकर्ता। पासवर्ड सही! $ User_browser = $ _SERVER `[` HTTP_USER_AGENT `] -। // वर्तमान उपयोगकर्ता $ user_id = preg_replace के लिए पैरामीटर` उपयोगकर्ता-एजेंट `पुनः प्राप्त ("/ [^ 0-9] + /", "", $ user_id) - // हमें एक हमले से बचाव XSS $ _SESSION [`user_id`] = $ user_id- $ username = preg_replace ("/ [^ एक-zA-Z0-9 _ -] /", "", $ उपयोगकर्ता नाम) - // हम अपने आप को एक हमले XSS $ _SESSION से बचाने [ `उपयोगकर्ता नाम`] = $ उपयोगकर्ता नाम - $ _ सत्र [ `login_string`] = हैश ( `SHA512`, $ पासवर्ड $ User_browser) -। // लॉग इन निष्पादित success.return true-} else {// गलत पासवर्ड .// हम डेटाबेस में विफल प्रयास रिकॉर्ड। $ अब = समय () - $ mysqli->क्वेरी ("प्रवेश लॉगिन में प्रवेश करें (उपयोगकर्ता_आईडी, समय) मूल्य (`$ user_id`, `$ अब`)") -छोटे झूठी-}}} अन्य {// उपयोगकर्ता में मौजूद नहीं है। झूठी झूठी -}}}

checkbrute समारोह ($ user_id, $ mysqli) {// पुनः प्राप्त टाइमस्टैम्प $ अब समय () = -। // यह पिछले दो घंटे से सभी प्रवेश करने के प्रयासों का विश्लेषण करती है valid_attempts $ = $ अब - (2 * 60 * 60 ) -इफ़ ($ stmt = $ mysqli->तैयार ("Login_attempts से समय का चयन करें WHERE user_id =? और समय > `$ Valid_attempts`")) {$ stmt->bind_param (`i`, $ user_id) - // निर्मित क्वेरी चलाएं। $ stmt->निष्पादित () - $ stmt->store_result () - // मैं 5 से अधिक लॉगिन प्रयासों के अस्तित्व की पुष्टि करता है। यदि ($ stmt->NUM_ROWS > 5) {रिटर्न सच-} और {वापसी- झूठी}}}}

समारोह login_check ($ mysqli) {// की जाँच करें कि सभी सत्र चर correttamenteif सेट कर रहे हैं (isset ($ _ सत्र [ `user_id`], $ _ सत्र [ `उपयोगकर्ता नाम`], $ _ सत्र [ `login_string`])) {$ user_id = $ _SESSION [ `user_id`] - $ login_string = $ _ सत्र [ `login_string`] - $ उपयोगकर्ता नाम = $ _ सत्र [ `उपयोगकर्ता नाम`] - $ user_browser = $ _SERVER `[` HTTP_USER_AGENT `] - // स्ट्रिंग` को पुन: प्राप्त उपयोगकर्ता- एजेंट `dell`utente.if ($ stmt = $ mysqli->तैयार ("सदस्य का चयन पासवर्ड कहाँ आईडी =? LIMIT 1")) {$ stmt->bind_param (`i`, $ user_id) - // पैरामीटर `$ user_id` को बांधता है। $ stmt->execute () - // बनाया क्वेरी चलाएँ। $ stmt->store_result () - अगर ($ stmt->num_rows == 1) {// यदि उपयोगकर्ता मौजूद है $ stmt->bind_result ($ password) - // प्राप्त परिणाम से चर प्राप्त करें। $ stmt->लाने () - $ login_check = हैश (। `SHA512`, $ पासवर्ड $ user_browser) -यदि ($ login_check == $ login_string) और {// सच लॉगिन रन लौट !!!!} {// कोई झूठी eseguitoreturn लॉगिन -}} else {// कोई eseguitoreturn FALSE-}} किसी और लॉगिन {// कोई eseguitoreturn FALSE-}} किसी और लॉगिन {// कोई eseguitoreturn FALSE- लॉगिन}}

। // सत्र के सभी मान हटाएं $ _ सत्र = सरणी () - - `functions.php`-sec_session_start () भी शामिल है। // पुनः प्राप्त सत्र मापदंडों session_get_cookie_params $ पैरामीटर = () - // कुकीज़ attuali.setcookie हटाएं (session_name (), `, समय () - 42000, $ पैरामीटर ["पथ"], $ परम ["डोमेन"], $ परम ["सुरक्षित"], $ परम ["केवल Http"]) - // सत्र सत्र रद्द करें () - हैडर (`स्थान:।``- `

। // एंट्री फॉर्म से एन्क्रिप्टेड पासवर्ड पुनः प्राप्त $ पासवर्ड = $ _POST [ `पी`] - // एक यादृच्छिक कुंजी $ random_salt = हैश ( `SHA512`, uniqid बनाएँ (mt_rand (1 mt_getrandmax ()), सच) ) - // एक पासवर्ड आपने अभी बनाया कुंजी का उपयोग कर हैश ( `SHA512`, $ पासवर्ड बनाएँ $ पासवर्ड = $ random_salt) -।। // अपने डेटाबेस में सम्मिलित करें कथन निष्पादित करने के लिए इस बिंदु पर अपने एसक्यूएल कोड शामिल करें // आप का उपयोग सुनिश्चित करें SQL कथन `तैयार`। ($ Insert_stmt = $ mysqli->तैयार ("सदस्यों में शामिल करें (उपयोगकर्ता नाम, ईमेल, पासवर्ड, नमक) मूल्य (?,?,?,?)")) {$ insert_stmt->bind_param (`ssss`, $ username, $ email, $ password, $ random_salt) - // परिणामी क्वेरी चलाएं। $ insert_stmt->निष्पादित () -}