《PHP實例:php基于表單密碼驗證與HTTP驗證用法實例》要點:
本文介紹了PHP實例:php基于表單密碼驗證與HTTP驗證用法實例,希望對您有用。如果有疑問,可以聯系我們。
PHP編程本文實例講述了php基于表單暗碼驗證與HTTP驗證用法.分享給大家供大家參考.具體分析如下:
PHP編程PHP 的 HTTP 認證機制僅在 PHP 以 Apache 模塊方式運行時才有效,因此該功能不適用于 CGI 版本.在 Apache 模塊的 PHP 腳本中,可以用 header() 函數來向客戶端瀏覽器發送“Authentication Required”信息,使其彈出一個用戶名/暗碼輸入窗口.當用戶輸入用戶名和暗碼后,包含有 URL 的 PHP 腳本將會加上預定義變量 PHP_AUTH_USER , PHP_AUTH_PW 和 AUTH_TYPE 被再次調用,這三個變量分別被設定為用戶名,暗碼和認證類型.預定義變量保存在 $_SERVER 或者 $HTTP_SERVER_VARS 數組中.支持“Basic”和“Digest”(自 PHP 5.1.0 起)認證方法.感興趣的朋友可以參閱header()函數相關信息.
PHP編程PHP 版本問題: Autoglobals 全局變量,包括 $_SERVER 等,自 PHP 4.1.0 起有效, $HTTP_SERVER_VARS 從 PHP 3 開始有效.
PHP編程以下是在頁面上強迫客戶端認證的腳本范例.
PHP編程例子 34-1. Basic HTTP 認證范例
代碼如下:
<?php
?? if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {?
???? header ( 'WWW-Authenticate: Basic realm="My Realm"' );?
???? header ( 'HTTP/1.0 401 Unauthorized' );?
??? echo 'Text to send if user hits Cancel button' ;?
??? exit;
? } else {?
??? echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .</p>" ;?
??? echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.</p>" ;?
? }?
?>
例子 34-2. Digest HTTP 認證范例
PHP編程本例演示怎樣實現一個簡單的 Digest HTTP 認證腳本,更多信息請參考 RFC 2617.
代碼如下:
<?php?
$realm = 'Restricted area' ;
//user => password?
$users = array( 'admin' => 'mypass' , 'guest' => 'guest' );
?
if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {?
???? header ( 'HTTP/1.1 401 Unauthorized' );?
???? header ( 'WWW-Authenticate: Digest realm="' . $realm .?
??????????? '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' );
??? die( 'Text to send if user hits Cancel button' );?
}
// analize the PHP_AUTH_DIGEST variable?
preg_match ( '/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest );
if (!isset( $users [ $digest [ 'username' ]]))?
??? die( 'Username not valid!' );
?
// generate the valid response?
$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]);?
$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);?
$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 );
if ( $digest [ 'response' ] != $valid_response )?
??? die( 'Wrong Credentials!' );
// ok, valid username & password?
echo 'Your are logged in as: ' . $digest [ 'username' ];
?>
兼容性問題:在編寫 HTTP 標頭代碼時請格外小心,為了對所有的客戶端保證兼容性,關鍵字“Basic”的第一個字母必須大寫為“B”,分界字符串必須用雙引號(不是單引號)引用;并且在標頭行 HTTP/1.0 401 中,在 401 前必須有且僅有一個空格.
PHP編程在以上例子中,僅僅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在實際運用中,可能需要對用戶名和暗碼的合法性進行檢查,或許進行數據庫教程的查詢,或許從 dbm 文件中檢索.
PHP編程注意有些 Internet Explorer 瀏覽器本身有問題.它對標頭的順序顯得似乎有點吹毛求疵.目前看來在發送 HTTP/1.0 401 之前先發送 WWW-Authenticate 標頭似乎可以解決此問題.
PHP編程自 PHP 4.3.0 起,為了防止有人通過編寫腳本來從用傳統外部機制認證的頁面上獲取密碼,當外部認證對特定頁面有效,并且 平安模式 被開啟時,PHP_AUTH 變量將不會被設置,但無論如何, REMOTE_USER 可以被用來辨認外部認證的用戶,因此可以用 $_SERVER['REMOTE_USER'] 變量.
PHP編程配置說明:PHP 用是否有 AuthType 指令來判斷外部認證機制是否有效.
PHP編程注意,這仍然不能防止有人通過未認證的 URL 來從同一服務器上認證的 URL 上偷取暗碼.
PHP編程Netscape Navigator 和 Internet Explorer 瀏覽器都會在收到 401 的服務端返回信息時清空所有的本地瀏覽器整個域的 Windows 認證緩存,這能夠有效的注銷一個用戶,并迫使他們重新輸入他們的用戶名和暗碼,有些人用這種方法來使登錄狀態“過期”,或者作為“注銷”按鈕的響應行為.
PHP編程例子 34-3.強迫重新輸入用戶名和暗碼的 HTTP 認證的范例
代碼如下:
<?php?
?? function authenticate () {?
???? header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' );
???? header ( 'HTTP/1.0 401 Unauthorized' );?
??? echo "You must enter a valid login ID and password to access this resourcen" ;?
??? exit;?
? }
? if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) ||?
????? ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {?
??? authenticate ();?
? }?
? else {?
?? echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]} <br />" ;?
?? echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;?
?? echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} ' METHOD='post'> n " ;?
?? echo "<input type='hidden' name='SeenBefore' value='1' />n" ;?
?? echo "<input type='hidden' name='OldAuth' value=' { $_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ;?
?? echo "<input type='submit' value='Re Authenticate' />n" ;?
?? echo "</form></p>n" ;?
? }
?>
該行為對于 HTTP 的 Basic 認證標準來說并不是必須的,因此不能依靠這種方法,對 Lynx 瀏覽器的測試表明 Lynx 在收到 401 的服務端返回信息時不會清空認證文件,因此只要對認證文件的檢查要求沒有變化,只要用戶點擊“后退”按鈕,再點擊“前進”按鈕,其原有資源仍然能夠被訪問,不過,用戶可以通過按“_”鍵來清空他們的認證信息.
PHP編程在下例中,我們是使用$PHP_AUTH_USER和$PHP_AUTH_PW這兩個變量來驗證進入者是否合法并允許進入.在本例中被允許登錄的用戶名稱和暗碼對分別為tnc和nature:
代碼如下:
<?php
if(!isset($PHP_AUTH_USER))?
{?
Header("WWW-Authenticate: Basic realm="My Realm"");?
Header("HTTP/1.0 401 Unauthorized");?
echo "Text to send if user hits Cancel buttonn";?
exit;?
}?
else?
{?
if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") )?
{?
// 如果是錯誤的用戶名稱/暗碼對,強制再驗證?
Header("WWW-Authenticate: Basic realm="My Realm"");?
Header("HTTP/1.0 401 Unauthorized");?
echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid.";?
exit;?
}?
else?
{?
echo "Welcome tnc!";?
}?
?>
事實上再實際引用中不大可能如上面使用代碼段明顯的用戶名稱/暗碼對,而是利用數據庫或者加密的暗碼文件存取它們.
PHP編程根據指定的驗證信息核實用戶身份:
PHP編程首先,我們可以使用以下代碼確定用戶是否已經輸入了用戶名和暗碼,并顯示出用戶輸入的信息.
代碼如下:
<?php?
if (!isset($PHP_AUTH_USER)) {?
header('WWW-Authenticate: Basic realm="My Private Stuff"');?
header('HTTP/1.0 401 Unauthorized');?
echo 'Authorization Required.';?
exit;?
}?
else {?
echo "<P>You have entered this username: $PHP_AUTH_USER<br>?
You have entered this password: $PHP_AUTH_PW<br>?
The authorization type is: $PHP_AUTH_TYPE</p>";?
}?
?>
說明:
PHP編程isset()函數用于確定某個變量是否已被賦值,根據變量值是否存在,返回true或false.
PHP編程header()函數用于發送特定的HTTP標頭,注意,使用header()函數時,一定要在任何產生實際輸出的HTML或PHP代碼前面調用該函數.
PHP編程雖然上述代碼相當簡單,沒有根據任何實際值對用戶輸入的用戶名和暗碼進行有效驗證,但是至少我們了解了如何使用PHP在客戶端產生輸入對話框.
PHP編程下面,我們就來了解一下如何根據指定的驗證信息核實用戶身份,代碼如下:
代碼如下:
<?php?
if (!isset($PHP_AUTH_USER)) {?
header('WWW-Authenticate: Basic realm="My Private Stuff"');?
header('HTTP/1.0 401 Unauthorized');?
echo 'Authorization Required.';?
exit;?
}?
else if (isset($PHP_AUTH_USER)) {?
if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) {?
header('WWW-Authenticate: Basic realm="My Private Stuff"');?
header('HTTP/1.0 401 Unauthorized');?
echo 'Authorization Required.';?
exit;?
} else {?
echo "<P>You're authorized!</p>";?
}?
}?
?>
在這里,我們首先檢查用戶是否已經輸入了用戶名稱和暗碼,如果沒有則彈出相應對話框要求用戶輸入身份信息,隨后,我們通過判斷用戶輸入的信息是否符合admin/123這一指定用戶帳號來授予用戶訪問權限或提示用戶再次輸入正確的信息,這種方法適用于所有用戶都使用同一登錄帳號的網站.
PHP編程另一種簡易的暗碼驗證
PHP編程如果你是在windows98下面編寫和運行著你的PHP腳本,或者是你在Linux下面按默認設置,將PHP安裝成一個CGI程序的話,你將無法使用上面的PHP程序來實現驗證功能,為此,無邊給大家提供了另外一種簡易的暗碼驗證的方法,雖然實用性不大,但是拿來學習還是挺好的.
代碼如下:
<?php
if($_POST[Submit]=="提交"){? //如果用戶提交了數據,則執行操作
$password=$_POST[password]; //獲取用戶輸入的數據,并保存在變量 password 中
$cpassword=$_POST[cpassword];?? //獲取用戶輸入的確認數據,保存在變量 $cpassord 中
if(emptyempty($password) || emptyempty($cpassword))
{
??? die("暗碼不可空!");
}
elseif ( ((strlen($password) < 5) || (strlen($password) > 15)))
{
??? die("暗碼長度在5和15之間");
}
?? //--- 值比較
elseif ( !(strlen($password) == strlen($cpassword)) )
{
??? die("兩次輸入暗碼不匹配! ");
}
elseif( !($password === $cpassword)) //值和數據類型比較
{
? die("兩次暗碼不匹配! ");
}
else? //循環輸出暗碼,因為是暗碼所以輸出*號?
{
??? for ($i=0;$i<strlen($password);$i++)
????? {
??????????? echo "*";
????? }
}
}
?>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>表單驗證-暗碼字段驗證</title>
</head>
<body>
<form name="form1" method="post" action="<?=$_SERVER['PHP_SELF'] ?>">
請輸入暗碼:<input type="text" name="password"><br>
確認暗碼:<input type="password" name="cpassword"><br>
<input type="submit" name="Submit" value="提交">
</form>
</body>
</html>
PHP編程希望本文所述對大家的php程序設計有所幫助.
《PHP實例:php基于表單密碼驗證與HTTP驗證用法實例》是否對您有啟發,歡迎查看更多與《PHP實例:php基于表單密碼驗證與HTTP驗證用法實例》相關教程,學精學透。維易PHP學院為您提供精彩教程。
轉載請注明本頁網址:
http://www.snjht.com/jiaocheng/12821.html