登录验证必须用session且后端校验,禁用前端JS判断;密码须password_hash加密、password_verify校验;需限流防爆破、统一错误提示;退出要清session和cookie;HTTPS为强制前提。
登录验证必须用 session,不能只靠前端判断
用户提交账号密码后,PHP 后端必须验证凭证有效性,并通过 session_start() 和 $_SESSION 保存登录态。仅靠 JavaScript 检查或隐藏按钮毫无安全意义——请求仍可被绕过直接调用后台接口。
常见错误:把 is_logged_in 放在 JS 里判断,或只校验用户名不查密码哈希;结果未登录用户也能伪造请求访问后台页面。
- 每次敏感操作前(如读取用户数据、跳转后台页),都应先调用一个统一验证函数,检查
isset($_SESSION['user_id'])且值为合法整数 - 登录成功后务必用
password_verify()校验密码,存储密码必须是password_hash()生成的哈希,绝不能存明文或简单 md5 - 登录接口返回 JSON 时,别忘了设置
header('Content-Type: application/json'),避免 XSS 风险
防止暴力破解:登录失败要限流,但别暴露具体原因
直接返回“密码错误”或“用户不存在”,等于帮攻击者枚举有效用户名。更稳妥的做法是统一提示“账号或密码错误”,同时记录失败次数并临时锁定 IP 或账号。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 用 Redis 存储尝试记录,键名如
login_fail:192.168.1.100,每失败一次INCR,超 5 次后EXPIRE15 分钟 - 不要在响应中返回
http_status = 401或error_code = 1002这类可被自动化识别的标识——统一用 200 + {“success”: false, “message”: “登录失败”} - 验证码不是银弹,但对批量脚本有明显抑制效果;可用
imagepng()+$_SESSION['captcha_code']自建轻量方案,无需第三方 SDK
退出登录必须销毁 session 并清理客户端 cookie
只执行 session_destroy() 不够——它只删服务器端 session 文件,浏览器里的 PHPSESSID cookie 依然存在,下次请求可能复用旧会话。
动态WEB网站中的PHP和MySQL详细反映实际程序的需求,仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法,让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能,对常用的、强大的包
正确退出流程:
- 调用
$_SESSION = []清空数据 - 调用
session_destroy() - 手动删除客户端 cookie:
setcookie('PHPSESSID', '', time() - 3600, '/') - 如果用了自定义 session 名(如
session_name('MYSESS')),退出时也要对应删setcookie('MYSESS', ...)
否则可能出现:用户点退出后,新开无痕窗口仍能访问需登录的页面。
HTTPS 是硬性前提,HTTP 下做任何加密都白搭
即使你用 password_hash()、加了验证码、限制了失败次数,只要网站走 HTTP,登录过程中的密码就以明文暴露在链路上。中间人可直接截获 POST 数据包。
必须确认以下三点已落实:
- Web 服务器(Nginx/Apache)已配置 TLS 证书,且强制跳转 HTTPS(
return 301 https://$host$request_uri) - PHP 中设置
session.cookie_secure = 1和session.cookie_httponly = 1(写在php.ini或用ini_set()) - 前端所有 AJAX 请求地址写成相对路径或全 HTTPS URL,避免混入 HTTP 资源导致浏览器拦截
很多开发者卡在“本地测试用 localhost 没证书”,结果上线才暴雷——开发阶段就该用 https://127.0.0.1 + 自签证书跑通全流程。