我想防止在 php 应用程序中进行多次登录。
首先,我在用户表中创建登录状态(事件、非事件)。
当用户 A 登录时,用户状态将设置为“事件”,如果用户注销,则状态将设置为“非事件”。当另一个客户端尝试使用相同的用户帐户登录时,我检查用户表。如果用户仍处于事件状态,则会将错误登录信息发送给用户。
问题出现了,如果用户关闭浏览器,用户表中的状态可以更新,因为用户没有点击注销。
对此您有什么建议吗?
最佳答案
(请注意,虽然这里的技术仍然有些有效;不应逐字复制 PHP 示例,因为有更安全的方法将用户提供的值合并到 SQL 查询中)
与其存储用户是否活跃/不活跃,不如存储一些可以在每个操作的基础上针对用户进行检查的属性;例如,每次用户尝试执行需要身份验证的操作时,它都会在继续之前检查该属性是否匹配。
我建议您执行以下操作;
首先,创建一个散列以在用户登录时唯一标识用户。我想 sha1
的 time()
足以避免碰撞。无论您选择什么,请确保它足够多样化,以便其他登录用户收到相同哈希值的可能性极低(例如,不要对 IP 地址或浏览器的用户代理进行哈希处理,因为它们是不变的够了)。
其次,将此哈希存储在您的数据库和用户的 session 中在登录时。这样做将有效地“注销”以前的用户,因为每次有人登录时哈希值都应该不同。
由于我们使用的是 session ,因此应该在用户的浏览器中自动放置一个 cookie,该 cookie 将包含一个唯一的 ID,用于识别用户的 session 数据。 cookie 的内容并不真正值得关注。
接下来,创建一个名为 authenticateUser()
或类似函数的函数,该函数将在每个脚本开始时调用,以确保用户已通过身份验证。此脚本应查询数据库,检查具有您用户 ID 的用户是否具有与您用户的哈希相匹配的哈希。
例如:
function authenticateUser($id, $hash, $databaseLink) {
# SQL
$sql = 'SELECT EXISTS(
SELECT 1
FROM `tbl_users`
WHERE `id` = \''.mysql_real_escape_string($id).'\'
AND `hash` = \''.mysql_real_escape_string($hash).'\'
LIMIT 1
);';
# Run Query
if ($query = mysql_query($sql, $databaseLink)) {
# Get the first row of the results
# Assuming 'id' is your primary key, there
# should only ever be one row anyway.
$result = mysql_fetch_row($query);
# Casting to boolean isn't strictly necessary here
# its included to indicate the mysql result should
# only ever been 1 or 0.
return (bool)($result[0]);
} else {
# Query error :(
return false;
}
}
然后,我们只需传递 authenticateUser()
用户的 ID
、hash
(根据您的 session 数据)和 数据库链接
(对于数据库连接,您必须提前打开)。
如果 authenticateUser()
返回 true
,则用户已通过身份验证。如果 false
,则用户不在或数据库不可用或存在 SQL 错误。
但是请注意,这会增加您的服务器负载,因为每个页面请求都会发送一次数据库请求。在任何给定时间都有数千人登录的大型项目上执行此操作可能并不是那么明智。我相信有人可以提出改进建议。
此外,等待 cookie 过期并不是强制不活跃用户退出的最佳方式,因为您永远不应该相信 cookie。相反,您可以添加一个名为 last_active
的列,您可以在每次用户通过身份验证时更新该列。这也会增加服务器负载,但允许您通过删除例如 3 小时不活动的用户的 hash
来手动覆盖过时的登录。
关于php - PHP网站如何防止多次登录,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1727919/