那个,自从上次网站后台登录页被打开,我就觉得现在的网站黑科技非常的先进。为了防止被破防,我就加强网站后台登录了,甚至,我还重写了后台登录页面代码。先下载官网的看看,看官网的登录页代码,这不是应届毕业生水准嘛。
PHP
- //只允许用户名和密码用0-9,a-z,A-Z,'@','_','.','-'这些字符
- $userid = preg_replace("/[^0-9a-zA-Z_@!\.-]/", '', $userid);
- $pwd = preg_replace("/[^0-9a-zA-Z_@!\.-]/", '', $pwd);
PS:纳尼,禁止输入特殊字符?还是来自官网?谁写的限制的,官网的程序员,是不是有什么大病啊。密码设置特殊字符的话,相对的来说密码就安全了。来看看这个 /dede/sys_admin_user_add.php 页面,这个就是管理员的高难度密码设置了。
PHP
- if(preg_match("#[^0-9a-zA-Z_@!\.-]#", $pwd) || preg_match("#[^0-9a-zA-Z_@!\.-]#", $userid))
- {
- ShowMsg('密码或或用户名不合法,<br />请使用[0-9a-zA-Z_@!.-]内的字符!', '-1', 0, 3000);
- exit();
- }
- if($pwd!='' && !preg_match("#^(?=.*[0-9])(?=.*[a-z])(?=.*[A-Z]).*$#", $pwd))
- {
- ShowMsg('密码必须包含1个数字,1个小写字母,1个大写字母!', '-1', 0, 3000);
- exit();
- }
- if($pwd!='' && !preg_match("#^.{8,128}$#", $pwd))
- {
- ShowMsg('密码必须大于8位小于128位!', '-1', 0, 3000);
- exit();
- }
请使用[0-9a-zA-Z_@!.-]内的字符!密码必须包含1个数字,1个小写字母,1个大写字母!密码必须大于8位小于128位!
PS:密码难度,高、很高、相当的高。这密码设置要求,数学天才都猜不到密码的吧。
废话少说,今天我要说的是,我把登录页重置了,保留了输错三次限制一天登录。直接上login.php的代码吧。
PHP
- <?php
- /**
- * 后台登录
- *
- * @version $Id: login.php 1 8:48 2010年7月13日 $
- * @package DedeCMS.Administrator
- * @founder IT柏拉图, https://weibo.com/itprato
- * @author DedeCMS团队
- * @copyright Copyright (c) 2004 - 2024, 上海卓卓网络科技有限公司 (DesDev, Inc.)
- * @license http://help.dedecms.com/usersguide/license.html
- * @link http://www.dedecms.com
- */
- require_once(dirname(__FILE__).'/../include/common.inc.php');
- require_once(DEDEINC.'/userlogin.class.php');
- if(empty($dopost)) $dopost = '';
- //登录检测
- if($dopost=='login')
- {
- $userid = isset($_POST['userid']) ? $_POST['userid'] : '';
- $pwd = isset($_POST['pwd']) ? $_POST['pwd'] : '';
- // 连续登录失败用户锁定
- $fail_limit = isset($cfg_fail_limit) ? $cfg_fail_limit : 3;//输错三次
- $lock_time = isset($cfg_lock_time) ? $cfg_lock_time : 86400;//锁定24小时
- $arr_login = array();
- $filename = DEDEDATA.'/login.data.php';
- if (file_exists($filename)) {
- require_once($filename);
- $arr_login = json_decode($str_login, true);
- if ($arr_login[$userid] != '') {
- $count = explode(',', $arr_login[$userid])[0];
- $timestamp = explode(',', $arr_login[$userid])[1];
- if ($count == $fail_limit && $timestamp + $lock_time > time()) {
- $date = date('Y-m-d H:i:s', $timestamp + $lock_time);
- ResetVdValue();
- ShowMsg("连续登录失败用户锁定!<br>解锁时间:{$date}", 'login.php', 0, 5000);
- exit();
- }
- }
- }
- // 连续登录失败用户锁定
- $validate = isset($_POST['validate']) ? strtolower(trim($_POST['validate'])) : '';
- $svali = strtolower(GetCkVdValue());
- if(($validate=='' || $validate != $svali) && preg_match("/6/",$safe_gdopen)){
- ResetVdValue();
- ShowMsg('验证码不正确!','login.php',0,1000);
- exit();
- } else {
- $cuserLogin = new userLogin();
- if(!empty($userid) && !empty($pwd))
- {
- //success
- $res = $cuserLogin->checkUser($userid,$pwd);
- if($res==1)
- {
- // 连续登录失败用户锁定
- $count = 0;
- $timestamp = time();
- $arr_login[$userid] = "{$count},{$timestamp}";
- $content = "<?php\r\n\$str_login='".json_encode($arr_login)."';\r\n?>";
- $fp = fopen($filename, 'w');
- fwrite($fp, $content);
- fclose($fp);
- // 连续登录失败用户锁定
- $cuserLogin->keepUser();
- ShowMsg('成功登录,正在转向管理管理主页!',"index.php");
- exit();
- }
- //error
- else if($res==-1)
- {
- ResetVdValue();
- ShowMsg('用户名或者密码错误!','login.php',0,1000);
- exit();
- }
- else
- {
- // 连续登录失败用户锁定
- $count = 1;
- $timestamp = time();
- if ($arr_login[$userid] != '') {
- $count = explode(',', $arr_login[$userid])[0] + 1;
- if ($count > $fail_limit) {
- $count = 1;
- }
- }
- $arr_login[$userid] = "{$count},{$timestamp}";
- $content = "<?php\r\n\$str_login='".json_encode($arr_login)."';\r\n?>";
- $fp = fopen($filename, 'w');
- fwrite($fp, $content);
- fclose($fp);
- // 连续登录失败用户锁定
- ResetVdValue();
- ShowMsg('用户名或者密码错误!','login.php',0,1000);
- exit();
- }
- }
- //password empty
- else
- {
- ResetVdValue();
- ShowMsg('用户名和密码没填写完整!','login.php',0,1000);
- exit();
- }
- }
- }
- include('templets/login.htm');
你看,你细看,你品,你细品。不小心看到后台登录页被打开过,我就发奋写代码,你这辈子都不可能再打开我的后台登录页了。改写得代码整洁,比官网的安全性高多了,也不像DedeBIZ那样随意果奔,一分钟内输错三次就只是来个验证码。
本文结束
评论专区
上一篇
发表评论
评论列表(无评论)