php基于表单密码验证与HTTP验证用法实例


Posted in PHP onJanuary 06, 2015

本文实例讲述了php基于表单密码验证与HTTP验证用法。分享给大家供大家参考。具体分析如下:

PHP 的 HTTP 认证机制仅在 PHP 以 Apache 模块方式运行时才有效,因此该功能不适用于 CGI 版本。在 Apache 模块的 PHP 脚本中,可以用 header() 函数来向客户端浏览器发送“Authentication Required”信息,使其弹出一个用户名/密码输入窗口。当用户输入用户名和密码后,包含有 URL 的 PHP 脚本将会加上预定义变量 PHP_AUTH_USER , PHP_AUTH_PW 和 AUTH_TYPE 被再次调用,这三个变量分别被设定为用户名,密码和认证类型。预定义变量保存在 $_SERVER 或者 $HTTP_SERVER_VARS 数组中。支持“Basic”和“Digest”(自 PHP 5.1.0 起)认证方法。感兴趣的朋友可以参阅header()函数相关信息。

PHP 版本问题: Autoglobals 全局变量,包括 $_SERVER 等,自 PHP 4.1.0 起有效, $HTTP_SERVER_VARS 从 PHP 3 开始有效。

以下是在页面上强迫客户端认证的脚本范例.

例子 34-1. Basic HTTP 认证范例

<?php 

   if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {  

     header ( 'WWW-Authenticate: Basic realm="My Realm"' );  

     header ( 'HTTP/1.0 401 Unauthorized' );  

    echo 'Text to send if user hits Cancel button' ;  

    exit; 

  } else {  

    echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .</p>" ;  

    echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.</p>" ;  

  }  

?>

例子 34-2. Digest HTTP 认证范例

本例演示怎样实现一个简单的 Digest HTTP 认证脚本,更多信息请参考 RFC 2617.

<?php  

$realm = 'Restricted area' ; 

//user => password  

$users = array( 'admin' => 'mypass' , 'guest' => 'guest' ); 

 

if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {  

     header ( 'HTTP/1.1 401 Unauthorized' );  

     header ( 'WWW-Authenticate: Digest realm="' . $realm .  

            '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' ); 

    die( 'Text to send if user hits Cancel button' );  

} 

// analize the PHP_AUTH_DIGEST variable  

preg_match ( '/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest ); 

if (!isset( $users [ $digest [ 'username' ]]))  

    die( 'Username not valid!' ); 

 

// generate the valid response  

$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]);  

$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);  

$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 ); 

if ( $digest [ 'response' ] != $valid_response )  

    die( 'Wrong Credentials!' ); 

// ok, valid username & password  

echo 'Your are logged in as: ' . $digest [ 'username' ]; 

?>

兼容性问题:在编写 HTTP 标头代码时请格外小心,为了对所有的客户端保证兼容性,关键字“Basic”的第一个字母必须大写为“B”,分界字符串必须用双引号(不是单引号)引用;并且在标头行 HTTP/1.0 401 中,在 401 前必须有且仅有一个空格.

在以上例子中,仅仅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在实际运用中,可能需要对用户名和密码的合法性进行检查,或许进行数据库教程的查询,或许从 dbm 文件中检索.

注意有些 Internet Explorer 浏览器本身有问题。它对标头的顺序显得似乎有点吹毛求疵。目前看来在发送 HTTP/1.0 401 之前先发送 WWW-Authenticate 标头似乎可以解决此问题。

自 PHP 4.3.0 起,为了防止有人通过编写脚本来从用传统外部机制认证的页面上获取密码,当外部认证对特定页面有效,并且 安全模式 被开启时,PHP_AUTH 变量将不会被设置,但无论如何, REMOTE_USER 可以被用来辨认外部认证的用户,因此可以用 $_SERVER['REMOTE_USER'] 变量.

配置说明:PHP 用是否有 AuthType 指令来判断外部认证机制是否有效。

注意,这仍然不能防止有人通过未认证的 URL 来从同一服务器上认证的 URL 上偷取密码.

Netscape Navigator 和 Internet Explorer 浏览器都会在收到 401 的服务端返回信息时清空所有的本地浏览器整个域的 Windows 认证缓存,这能够有效的注销一个用户,并迫使他们重新输入他们的用户名和密码,有些人用这种方法来使登录状态“过期”,或者作为“注销”按钮的响应行为.

例子 34-3.强迫重新输入用户名和密码的 HTTP 认证的范例

<?php  

   function authenticate () {  

     header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' ); 

     header ( 'HTTP/1.0 401 Unauthorized' );  

    echo "You must enter a valid login ID and password to access this resourcen" ;  

    exit;  

  } 

  if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) ||  

      ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {  

    authenticate ();  

  }  

  else {  

   echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]} <br />" ;  

   echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;  

   echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} ' METHOD='post'> n " ;  

   echo "<input type='hidden' name='SeenBefore' value='1' />n" ;  

   echo "<input type='hidden' name='OldAuth' value=' { $_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ;  

   echo "<input type='submit' value='Re Authenticate' />n" ;  

   echo "</form></p>n" ;  

  } 

?>

该行为对于 HTTP 的 Basic 认证标准来说并不是必须的,因此不能依靠这种方法,对 Lynx 浏览器的测试表明 Lynx 在收到 401 的服务端返回信息时不会清空认证文件,因此只要对认证文件的检查要求没有变化,只要用户点击“后退”按钮,再点击“前进”按钮,其原有资源仍然能够被访问,不过,用户可以通过按“_”键来清空他们的认证信息.

在下例中,我们是使用$PHP_AUTH_USER和$PHP_AUTH_PW这两个变量来验证进入者是否合法并允许进入。在本例中被允许登录的用户名称和密码对分别为tnc和nature:

<?php 

if(!isset($PHP_AUTH_USER))  

{  

Header("WWW-Authenticate: Basic realm="My Realm"");  

Header("HTTP/1.0 401 Unauthorized");  

echo "Text to send if user hits Cancel buttonn";  

exit;  

}  

else  

{  

if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") )  

{  

// 如果是错误的用户名称/密码对,强制再验证  

Header("WWW-Authenticate: Basic realm="My Realm"");  

Header("HTTP/1.0 401 Unauthorized");  

echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid.";  

exit;  

}  

else  

{  

echo "Welcome tnc!";  

}  

?>

事实上再实际引用中不大可能如上面使用代码段明显的用户名称/密码对,而是利用数据库或者加密的密码文件存取它们.

根据指定的验证信息核实用户身份:

首先,我们可以使用以下代码确定用户是否已经输入了用户名和密码,并显示出用户输入的信息.

<?php  

if (!isset($PHP_AUTH_USER)) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

}  

else {  

echo "<P>You have entered this username: $PHP_AUTH_USER<br>  

You have entered this password: $PHP_AUTH_PW<br>  

The authorization type is: $PHP_AUTH_TYPE</p>";  

}  

?>

说明:

isset()函数用于确定某个变量是否已被赋值,根据变量值是否存在,返回true或false.

header()函数用于发送特定的HTTP标头,注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数.

虽然上述代码相当简单,没有根据任何实际值对用户输入的用户名和密码进行有效验证,但是至少我们了解了如何使用PHP在客户端产生输入对话框.

下面,我们就来了解一下如何根据指定的验证信息核实用户身份,代码如下:

<?php  

if (!isset($PHP_AUTH_USER)) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

}  

else if (isset($PHP_AUTH_USER)) {  

if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

} else {  

echo "<P>You're authorized!</p>";  

}  

}  

?>

在这里,我们首先检查用户是否已经输入了用户名称和密码,如果没有则弹出相应对话框要求用户输入身份信息,随后,我们通过判断用户输入的信息是否符合admin/123这一指定用户帐号来授予用户访问权限或提示用户再次输入正确的信息,这种方法适用于所有用户都使用同一登录帐号的网站.

另一种简易的密码验证

如果你是在windows98下面编写和运行着你的PHP脚本,或者是你在Linux下面按默认设置,将PHP安装成一个CGI程序的话,你将无法使用上面的PHP程序来实现验证功能,为此,无边给大家提供了另外一种简易的密码验证的方法,虽然实用性不大,但是拿来学习还是挺好的.

<?php 

if($_POST[Submit]=="提交"){  //如果用户提交了数据,则执行操作 

$password=$_POST[password];
//获取用户输入的数据,并保存在变量 password 中 

$cpassword=$_POST[cpassword];   //获取用户输入的确认数据,保存在变量 $cpassord 中 

if(emptyempty($password) || emptyempty($cpassword)) 

{ 

    die("密码不可空!"); 

} 

elseif ( ((strlen($password) < 5) || (strlen($password) > 15))) 

{ 

    die("密码长度在5和15之间"); 

} 

   //--- 值比较 

elseif ( !(strlen($password) == strlen($cpassword)) ) 

{ 

    die("两次输入密码不匹配! "); 

} 

elseif( !($password === $cpassword)) //值和数据类型比较 

{ 

   die("两次密码不匹配! "); 

} 

else  //循环输出密码,因为是密码所以输出*号  

{ 

    for ($i=0;$i<strlen($password);$i++) 

      { 

            echo "*"; 

      } 

} 

} 

?> 

<html> 

<head> 

<meta http-equiv="Content-Type" content="text/html; charset=gb2312"> 

<title>表单验证-密码字段验证</title> 

</head> 

<body> 

<form name="form1" method="post" action="<?=$_SERVER['PHP_SELF'] ?>"> 

请输入密码:<input type="text" name="password"><br> 

确认密码:<input type="password" name="cpassword"><br> 

<input type="submit" name="Submit" value="提交"> 

</form> 

</body> 

</html>

希望本文所述对大家的php程序设计有所帮助。

PHP 相关文章推荐
用PHP+MySql编写聊天室
Oct 09 PHP
ajax+php打造进度条代码[readyState各状态说明]
Apr 12 PHP
php数据入库前清理 注意php intval与mysql的int取值范围不同
Dec 12 PHP
ThinkPHP2.0读取MSSQL提示Incorrect syntax near the keyword 'AS'的解决方法
Jun 25 PHP
Laravel 5框架学习之Eloquent 关系
Apr 09 PHP
基于PHP实现的事件机制实例分析
Jun 18 PHP
Yii2中OAuth扩展及QQ互联登录实现方法
May 16 PHP
php倒计时出现-0情况的解决方法
Jul 28 PHP
如何修改yii2.0自带的user表为其它的表
Aug 01 PHP
php识别翻转iphone拍摄的颠倒图片
May 17 PHP
PHP面向对象程序设计之接口的继承定义与用法详解
Dec 20 PHP
phpcmsv9.0任意文件上传漏洞解析
Oct 20 PHP
php使用fputcsv()函数csv文件读写数据的方法
Jan 06 #PHP
phplot生成图片类用法详解
Jan 06 #PHP
写一段简单的PHP建立文件夹代码
Jan 06 #PHP
php读取flash文件高宽帧数背景颜色的方法
Jan 06 #PHP
php自动获取关键字的方法
Jan 06 #PHP
windows7下php开发环境搭建图文教程
Jan 06 #PHP
PHP中$this和$that指针使用实例
Jan 06 #PHP
You might like
php下的权限算法的实现
2007/04/28 PHP
慎用preg_replace危险的/e修饰符(一句话后门常用)
2013/06/19 PHP
JS IE和FF兼容性问题汇总
2009/02/09 Javascript
jQuery 性能优化指南 (1)
2009/05/21 Javascript
JavaScript将字符串转换成字符编码列表的方法
2015/03/19 Javascript
在jQuery中处理XML数据的大致方法
2015/08/14 Javascript
js操作XML文件的实现方法兼容IE与FireFox
2016/06/25 Javascript
JS回调函数 callback的理解与使用案例分析
2019/09/09 Javascript
python目录操作之python遍历文件夹后将结果存储为xml
2014/01/27 Python
python使用threading获取线程函数返回值的实现方法
2017/11/15 Python
详解Python中的动态属性和特性
2018/04/07 Python
基于Django与ajax之间的json传输方法
2018/05/29 Python
Python抽象和自定义类定义与用法示例
2018/08/23 Python
在PYQT5中QscrollArea(滚动条)的使用方法
2019/06/14 Python
python实现对图片进行旋转,放缩,裁剪的功能
2019/08/07 Python
python多线程分块读取文件
2019/08/29 Python
xadmin使用formfield_for_dbfield函数过滤下拉表单实例
2020/04/07 Python
Python键鼠操作自动化库PyAutoGUI简介(小结)
2020/05/17 Python
CSS3实现可翻转的hover效果
2018/05/23 HTML / CSS
html通过canvas转成base64的方法
2019/07/18 HTML / CSS
伦敦时尚生活的缩影:LN-CC
2017/01/24 全球购物
ZWILLING双立人英国网上商店:德国刀具锅具厨具品牌
2018/05/15 全球购物
新加坡领先的在线生活方式和杂货购物网站:EAMART
2019/04/02 全球购物
面向对象编程的优势是什么
2015/12/17 面试题
信息技术教学反思
2014/02/12 职场文书
恶搞卫生巾广告词
2014/03/18 职场文书
2015年师德表现自我评价
2015/03/05 职场文书
售后前台接待岗位职责
2015/04/03 职场文书
借钱欠条怎么写
2015/07/03 职场文书
幼儿园教师管理制度
2015/08/05 职场文书
商务宴会祝酒词
2015/08/11 职场文书
工作汇报材料难写?方法都在这里了!
2019/07/01 职场文书
详解python网络进程
2021/06/15 Python
python中出现invalid syntax报错的几种原因分析
2022/02/12 Python
六个好看实用的 HTML + CSS 后台登录入口页面
2022/04/28 HTML / CSS
Java获取字符串编码格式实现思路
2022/09/23 Java/Android