加强用户密码保存及检验的安全性

以下 $username, $password 分别指用户名和密码，$sitekey 为站点扰码。

　　密码设置

<input type="password" name="passwd" />
<input type="hidden" name="t_code0" />

　　提交的时候，使用 javascript 处理


t_code0.value = md5 (username.value "|" passwd.value);
passwd.value = '';

　　假如提交的 passwd 有值或 t_code0 为空，设置密码失败；

　　t_code0 的值保存到数据库的 save_pwd 字段中；


　　密码校验

　　1. 用户端申请登录
　　服务器生成随机码 $sid，保存到 $_SESSION[sid] 中，同时传递给用户；

　　表单


<input type="hidden" name="sid" value="..." />
<input name="username" />
<input type="password" name="passwd" />
<input type="hidden" name="t_code" />

　　2. 用户输入用户名和密码，提交的时候，使用 javascript 处理


var t = md5 (username.value "|" passwd.value);
t_code.value = md5 (sid "|" t);
passwd.value = '';
　　3. 服务器端判定
　　假如 username 为空 或 passwd 非空 或 t_code 为空，返回登录页；
　　如没有 $_SESSION[sid]，返回登录页；


[php]

SQL注入攻击是黑客攻击网站最常用的手段。假如你的站点没有使用严格的用户输入检验，那么常轻易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。下面来谈谈SQL注入攻击是如何实现的，又如何防范。

　　看这个例子：

// supposed input
$name = "ilia'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");


　　很明显最后数据库执行的命令是：

SELECT * FROM users WHERE name=ilia; DELETE FROM users


　　这就给数据库带来了灾难性的后果--所有记录都被删除了。

　　不过假如你使用的数据库是MySQL，那么还好，mysql_query()函数不答应直接执行这样的操作（不能单行进行多个语句操作），所以你可以放心。假如你使用的数据库是SQLite或者PostgreSQL，支持这样的语句，那么就将面临灭顶之灾了。

　　上面提到，SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。假如magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加上反斜杠。

　　但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许多服务器上Magic Quotes并没有被启用。所以，我们还需要使用其它多种方法来防止SQL注入。

　　许多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有一个叫mysql_real_escape_string()的函数，可将非凡字符和可能引起数据库操作出错的字符转义。

　　看这段代码：

//假如Magic Quotes功用启用
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}else{
$name = mysql_real_escape_string($name);
}

mysql_query("SELECT * FROM users WHERE name='{$name}'");

　　注重，在我们使用数据库所带的功能之前要判定一下Magic Quotes是否打开，就像上例中那样，否则两次重复处理就会出错。假如MQ已启用，我们要把加上的去掉才得到真实数据。

　　除了对以上字符串形式的数据进行预处理之外，储存Binary数据到数据库中时，也要注重进行预处理。否则数据可能与数据库自身的存储格式相冲突，引起数据库崩溃，数据记录丢失，甚至丢失整个库的数据。有些数据库如PostgreSQL，提供一个专门用来编码二进制数据的函数pg_escape_bytea()，它可以对数据进行类似于Base64那样的编码。

　　如：

// for plain-text data use:
pg_escape_string($regular_strings);

// for binary data use:
pg_escape_bytea($binary_data);

　　另一种情况下，我们也要采用这样的机制。那就是数据库系统本身不支持的多字节语言如中文，日语等。其中有些的ASCII范围和二进制数据的范围重叠。

　　不过对数据进行编码将有可能导致像LIKE abc%　这样的查询语句失效。

<?php
/*
*lock_thisfile：获得独享锁
*@param $tmpFileStr 用来作为共享锁文件的文件名（可以随便起一个名字）
*@param $locktype 锁类型，缺省为false(非阻塞型，也就是一旦加锁失败则直接返回false),设置为true则会一直等待加锁成功才返回
*@return 假如加锁成功，则返回锁实例(当使用unlock_thisfile方法的时候需要这个参数)，加锁失败则返回false.
*/
function lock_thisfile($tmpFileStr,$locktype=false){
if($locktype == false)
$locktype = LOCK_EX|LOCK_NB;
$can_write = 0;
$lockfp = @fopen($tmpFileStr.".lock","w");
if($lockfp){
$can_write = @flock($lockfp,$locktype);
}
if($can_write){
return $lockfp;
}
else{
if($lockfp){
@fclose($lockfp);
@unlink($tmpFileStr.".lock");
}
return false;
}
}

/**
*unlock_thisfile：对先前取得的锁实例进行解锁
*@param $fp lock_thisfile方法的返回值
*@param $tmpFileStr 用来作为共享锁文件的文件名（可以随便起一个名字）
*/
function unlock_thisfile($fp,$tmpFileStr){
@flock($fp,LOCK_UN);
@fclose($fp);
@fclose($fp);
@unlink($tmpFileStr.".lock");
}
?>

<?php
// 使用举例
$tmpFileStr = "/tmp/mylock.loc";

// 等待取得操作权限,假如要立即返回则把第二个参数设为false.
$lockhandle = lock_thisfile($tmpFileStr,true);
if($lockhandle){
// 在这里进行所有需要独占的事务处理。
// ... ...
// 事务处理完毕。
unlock_thisfile($lockhandle,$tmpFileStr);
}

?>

　假如你希望在每个脚本的基础上实现口令保护功能，那么你可以通过结合header()函数和$PHP_AUTH_USER、$PHP_AUTH_PW全局变量的方法来创建一个基本认证机制。通常基于服务器的认证请求/响应过程如下：

　　1. 用户向一台Web服务器请求一个文件。假如文件在一个受到保护的区域以内，服务器就在响应数据的头部内加上401（非法用户）字符串作为回应。

　　2.浏览器看见该响应之后弹出用户名/口令对话框。

　　3.用户在对话框中输入用户名和口令，然后单击“OK”把这些信息送回到服务器进行认证。

　　4. 如用户名及口令有效，被保护的文件将会显示给用户。该确认将在经证实的用户在保护区域内的时间里持续有效。　

　　一个简单的PHP脚本可以通过发送适当的HTTP头以在客户机屏幕自动显示用户名/口令对话框以模拟HTTP认证请求/响应系统。PHP将用户输入对话框的信息存储在$PHP_AUTH_USER和$PHP_AUTH_PW变量中。通过使用这些变量，可以把不符合用户名/口令检验的列表存放到某个文本文件、数据库或者你希望的任何地方。

　　注重：$PHP_AUTH_USER、$PHP_AUTH_PW和$PHP_AUTH_TYPE全局变量仅当PHP被当作一个模块安装时才是有效的。如正使用PHP的CGI版本，则将仅限于使用基于htaccess认证或基于数据库的认证方式，并通过HTML表单让用户输入用户名和口令，然后再让PHP完成有效性的检查。

　　本例显示对两个硬件编码值的确认检查，不论用户名和口令存放在何处，这在理论上完全相同。

<?

/* 检查变量 $PHP_AUTH_USER 和$PHP_AUTH_PW 的值*/

if ((!isset($PHP_AUTH_USER)) || (!isset($PHP_AUTH_PW))) {

/* 空值：发送产生显示文本框的数据头部*/

header('WWW-Authenticate: Basic realm="My Private Stuff"');

header('HTTP/1.0 401 Unauthorized');

echo 'Authorization Required.';

exit;

} else if ((isset($PHP_AUTH_USER)) && (isset($PHP_AUTH_PW))){

/* 变量值存在，检查其是否正确 */

if (($PHP_AUTH_USER != "validname") || ($PHP_AUTH_PW != "goodpassword")) {

/* 用户名输入错误或密码输入错误，发送产生显示文本框的数据头部*/

header('WWW-Authenticate: Basic realm="My Private Stuff"');

header('HTTP/1.0 401 Unauthorized');

echo 'Authorization Required.';

exit;

} else if (($PHP_AUTH_USER == "validname") || ($PHP_AUTH_PW == "goodpassword")) {

/* 用户名及密码都正确，输出成功信息 */

echo "<P>You're authorized!</p>";

}

}

?>

必须提醒，当你正在使用基于文件的保护时，此方式并不能对目录提供全方位的安全保障。。这对大多数人而言是很明显的，但是，假如你的大脑在弹出对话框和保护给定目录二者之间建立一个连接，你应该对此进行进一步的考虑。

产生随机字串，可用来自动生成密码。
特点：
1. 可以指定密码包含数字或字符，默认为混和模式
2. 指定随意密码长度，默认长度为6位

代码如下：
#-------------------------------------------
# 产生随机字串，可用来自动生成密码
# 默认长度6位 字母和数字混合
# $format ALL NUMBER CHAR 字串组成格式
#-------------------------------------------
function randStr($len=6,$format='ALL') {
switch($format) {
case 'ALL':
$chars='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789-@#~'; break;
case 'CHAR':
$chars='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz-@#~'; break;
case 'NUMBER':
$chars='0123456789'; break;
default :
$chars='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789-@#~';
break;
}
mt_srand((double)microtime()*1000000*getmypid());
$password="";
while(strlen($password)<$len)
$password.=substr($chars,(mt_rand()%strlen($chars)),1);
return $password;
}