当前位置：首页 > PHP

登录php实现

2026-03-12 19:11:36PHP

登录功能的PHP实现

使用PHP实现登录功能需要处理用户输入、验证数据、查询数据库以及会话管理。以下是一个基本的登录系统实现方法。

数据库准备

创建一个用户表存储用户名和密码（建议使用哈希存储密码）：

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL UNIQUE,
    password VARCHAR(255) NOT NULL,
    created_at DATETIME DEFAULT CURRENT_TIMESTAMP
);

登录表单(login.html)

<form action="login.php" method="post">
    <label for="username">用户名:</label>
    <input type="text" id="username" name="username" required>

    <label for="password">密码:</label>
    <input type="password" id="password" name="password" required>

    <button type="submit">登录</button>
</form>

登录处理(login.php)

<?php
session_start();
$db_host = 'localhost';
$db_user = 'root';
$db_pass = '';
$db_name = 'your_database';

$conn = new mysqli($db_host, $db_user, $db_pass, $db_name);

if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

$username = $_POST['username'];
$password = $_POST['password'];

$stmt = $conn->prepare("SELECT id, username, password FROM users WHERE username = ?");
$stmt->bind_param("s", $username);
$stmt->execute();
$result = $stmt->get_result();

if ($result->num_rows == 1) {
    $user = $result->fetch_assoc();
    if (password_verify($password, $user['password'])) {
        $_SESSION['user_id'] = $user['id'];
        $_SESSION['username'] = $user['username'];
        header("Location: dashboard.php");
        exit();
    } else {
        $error = "无效的密码";
    }
} else {
    $error = "用户名不存在";
}

$stmt->close();
$conn->close();
?>

密码哈希处理

在用户注册时使用password_hash()函数：

$hashed_password = password_hash($plain_password, PASSWORD_DEFAULT);

会话验证(dashboard.php)

<?php
session_start();
if (!isset($_SESSION['user_id'])) {
    header("Location: login.html");
    exit();
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>欢迎</title>
</head>
<body>
    <h1>欢迎, <?php echo $_SESSION['username']; ?></h1>
    <a href="logout.php">退出</a>
</body>
</html>

退出功能(logout.php)

<?php
session_start();
session_unset();
session_destroy();
header("Location: login.html");
exit();
?>

安全增强措施

实施CSRF防护，在表单中添加令牌：

$_SESSION['token'] = bin2hex(random_bytes(32));

<input type="hidden" name="token" value="<?php echo $_SESSION['token']; ?>">

验证表单提交的令牌：

if (!hash_equals($_SESSION['token'], $_POST['token'])) {
    die("无效的CSRF令牌");
}

使用预处理语句防止SQL注入，如示例中所示。限制登录尝试次数以防止暴力破解。考虑添加验证码功能。确保使用HTTPS传输敏感数据。

密码重置功能

实现密码重置需要：

密码重置请求页面
生成唯一令牌并存储
发送包含重置链接的电子邮件
令牌验证和密码更新页面

// 生成重置令牌
$token = bin2hex(random_bytes(32));
$expires = date("Y-m-d H:i:s", time() + 3600); // 1小时后过期

// 存储到数据库
$stmt = $conn->prepare("UPDATE users SET reset_token=?, reset_expires=? WHERE email=?");
$stmt->bind_param("sss", $token, $expires, $email);

记住我功能

实现持久登录使用Cookie：

登录php实现

if (isset($_POST['remember'])) {
    $selector = bin2hex(random_bytes(8));
    $validator = random_bytes(32);
    $hashed_validator = password_hash($validator, PASSWORD_DEFAULT);
    $expires = date("Y-m-d H:i:s", time() + 86400 * 30); // 30天

    // 存储到数据库
    $stmt = $conn->prepare("INSERT INTO auth_tokens (user_id, selector, hashed_validator, expires) VALUES (?, ?, ?, ?)");
    $stmt->bind_param("isss", $user_id, $selector, $hashed_validator, $expires);

    // 设置Cookie
    setcookie('remember', $selector.':'.bin2hex($validator), time() + 86400 * 30, '/', '', true, true);
}

这个实现涵盖了基本登录系统的所有关键组件，包括表单处理、数据库交互、会话管理和安全考虑。根据具体需求可以进一步扩展和完善。

标签: php