php实现login

PHP 实现登录功能

创建登录表单

创建一个 HTML 表单用于用户输入用户名和密码。表单的 action 属性应指向处理登录的 PHP 文件，method 设置为 POST。

<form action="login.php" method="POST">
    <label for="username">用户名:</label>
    <input type="text" id="username" name="username" required>

    <label for="password">密码:</label>
    <input type="password" id="password" name="password" required>

    <button type="submit">登录</button>
</form>

处理登录请求

在 login.php 文件中，验证用户提交的数据。通常需要连接数据库查询用户信息。

<?php
session_start();

// 假设数据库连接已建立
$host = 'localhost';
$dbname = 'your_database';
$username = 'db_username';
$password = 'db_password';

try {
    $pdo = new PDO("mysql:host=$host;dbname=$dbname", $username, $password);
} catch (PDOException $e) {
    die("数据库连接失败: " . $e->getMessage());
}

// 获取表单数据
$user = $_POST['username'] ?? '';
$pass = $_POST['password'] ?? '';

// 查询用户
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$user]);
$userData = $stmt->fetch();

// 验证密码
if ($userData && password_verify($pass, $userData['password'])) {
    $_SESSION['user_id'] = $userData['id'];
    $_SESSION['username'] = $userData['username'];
    header("Location: dashboard.php");
    exit();
} else {
    echo "用户名或密码错误";
}
?>

密码哈希存储

在注册或修改密码时，使用 password_hash 函数对密码进行哈希存储。

$hashedPassword = password_hash($plainPassword, PASSWORD_DEFAULT);

会话管理

登录成功后，使用 $_SESSION 存储用户信息，并在其他页面检查会话以验证用户是否登录。

// 检查用户是否登录
session_start();
if (!isset($_SESSION['user_id'])) {
    header("Location: login.php");
    exit();
}

安全注意事项

• 使用 HTTPS 保护数据传输。
• 对用户输入进行过滤和验证，防止 SQL 注入。
• 设置会话过期时间，增强安全性。
• 使用 CSRF 令牌防止跨站请求伪造。

// 生成 CSRF 令牌
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

完整登录流程

1. 用户提交登录表单。
2. 服务器验证用户凭证。
3. 验证成功创建会话并重定向到受保护页面。
4. 验证失败返回错误信息。

通过以上步骤可以实现基本的 PHP 登录功能。根据实际需求可以添加更多功能如记住我、多因素认证等。