php实现登录验证

PHP 登录验证实现

数据库连接配置

创建一个 config.php 文件存储数据库连接信息：

<?php
$host = 'localhost';
$dbname = 'your_database';
$username = 'your_username';
$password = 'your_password';

try {
    $pdo = new PDO("mysql:host=$host;dbname=$dbname", $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
    die("Connection failed: " . $e->getMessage());
}
?>

登录表单设计

HTML 登录表单示例（login.html）：

<form action="login.php" method="post">
    <input type="text" name="username" placeholder="Username" required>
    <input type="password" name="password" placeholder="Password" required>
    <button type="submit">Login</button>
</form>

登录验证处理

创建 login.php 处理登录逻辑：

<?php
session_start();
require 'config.php';

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $username = trim($_POST['username']);
    $password = $_POST['password'];

    $stmt = $pdo->prepare("SELECT id, password FROM users WHERE username = ?");
    $stmt->execute([$username]);
    $user = $stmt->fetch();

    if ($user && password_verify($password, $user['password'])) {
        $_SESSION['user_id'] = $user['id'];
        header('Location: dashboard.php');
        exit;
    } else {
        $error = "Invalid username or password";
    }
}
?>

密码哈希存储

用户注册时应使用 password_hash() 存储密码：

$hashedPassword = password_hash($plainPassword, PASSWORD_DEFAULT);

会话验证

受保护页面（dashboard.php）验证会话：

<?php
session_start();
if (!isset($_SESSION['user_id'])) {
    header('Location: login.html');
    exit;
}
?>

安全增强措施

启用 HTTPS 确保传输安全 设置 CSRF 令牌防止跨站请求伪造 对登录尝试进行速率限制 使用预处理语句防止 SQL 注入 考虑实现双因素认证

密码重置功能

实现密码重置需要： 独立的密码重置令牌表 带有时效的加密令牌 通过电子邮件发送重置链接 强制要求新密码复杂度

这个实现包含了现代 PHP 登录系统的基本要素，可根据具体需求进行扩展和完善。注意始终遵循安全最佳实践，定期更新依赖库，并进行安全审计。