php登陆功能实现

用户登录功能实现

用户登录功能通常需要结合表单处理、数据库查询和会话管理。以下是一个基本的PHP登录实现流程：

表单设计

创建HTML表单收集用户凭据：

<form action="login.php" method="post">
    <input type="text" name="username" placeholder="用户名" required>
    <input type="password" name="password" placeholder="密码" required>
    <button type="submit">登录</button>
</form>

数据库连接

建立与数据库的连接（使用PDO方式）：

$host = 'localhost';
$db   = 'database_name';
$user = 'username';
$pass = 'password';
$charset = 'utf8mb4';

$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$options = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    PDO::ATTR_EMULATE_PREPARES   => false,
];
try {
    $pdo = new PDO($dsn, $user, $pass, $options);
} catch (\PDOException $e) {
    throw new \PDOException($e->getMessage(), (int)$e->getCode());
}

登录验证

处理表单提交并验证用户：

session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $username = $_POST['username'];
    $password = $_POST['password'];

    $stmt = $pdo->prepare('SELECT * FROM users WHERE username = ?');
    $stmt->execute([$username]);
    $user = $stmt->fetch();

    if ($user && password_verify($password, $user['password'])) {
        $_SESSION['user_id'] = $user['id'];
        $_SESSION['username'] = $user['username'];
        header('Location: dashboard.php');
        exit;
    } else {
        $error = "用户名或密码错误";
    }
}

密码安全

存储密码时应使用哈希加密：

// 注册时处理密码
$hashedPassword = password_hash($password, PASSWORD_DEFAULT);

// 验证时使用password_verify()

会话管理

登录后保护页面：

session_start();
if (!isset($_SESSION['user_id'])) {
    header('Location: login.php');
    exit;
}

安全增强措施

增加CSRF防护：

// 生成令牌
$_SESSION['token'] = bin2hex(random_bytes(32));

// 表单中包含
<input type="hidden" name="token" value="<?php echo $_SESSION['token']; ?>">

// 验证令牌
if (!hash_equals($_SESSION['token'], $_POST['token'])) {
    die('CSRF验证失败');
}

错误处理

友好的错误提示：

if (isset($error)) {
    echo '<div class="error">'.$error.'</div>';
}

这个实现包含了用户登录的基本要素，可以根据具体需求进一步扩展功能如记住登录状态、多因素认证等。在生产环境中，还应考虑添加速率限制、输入过滤等安全措施。