密码保护，同时跟踪谁是谁

Question

我维护一个农贸市场网站。该网站的一部分包括一个数据库，其中包含所有不同农民以及他们本周收获的作物。

目前，我有一组管理页面，由于我没有告诉任何人它们在哪里，所以这些页面对公众隐藏。通过管理页面，我根据需要编辑数据。随着越来越多的农民参与进来，更新他们的数据变得很痛苦，我想将其设置为每个农民都可以注册，使用自己的密码登录并编辑他们本周在市场上的产品，而无需我参与。

我见过很多关于密码保护页面的脚本。我所看到的那些已经设置为一旦用户登录，他们就可以查看所有内容，并且似乎没有一种简单的方法来跟踪登录者。

如何在跟踪的同时建立密码保护谁是谁，以便我可以即时构建自定义管理页面？有什么提示或最佳实践需要牢记吗？

谢谢，

布兰丹 PS我一直在使用PHP和SQLite

Answer 1

按照您在网上找到的这些脚本进行操作。

归结为：

• 注册页面收集用户详细信息，保存时检查每个字段是否有效（即使用正则表达式检查电子邮件地址是否有效），还检查所有必填字段是否已填写
• 如果以上所有检查均正确，则清理数据后保存到数据库（我们现在不需要任何 SQL 注入！）
• 我建议至少将密码保存为哈希值，因此使用类似 md5() 和 i也会使用盐键（所以类似于 MD5($password.$salt)) - SALT 可以是用户注册时的时间戳、随机的字母/数字字符串（我推荐） - 并将其保存在数据库中。
• 当用户登录时，清理数据，检查用户名是否存在并获取该匹配条目的盐键，然后使用 SALT 键对传入密码进行 MD5 并查看字符串是否匹配
• 将某种标志保存到 $_SESSION，例如。 $_SESSION['loggedin'] = true; 然后在每个受保护页面的顶部，您可以执行一些操作，如下例所示
• 您还可以保存时间戳 (time() code>) 或 datetime (date("Ymd H:i:s")) 到标记为 last_logged_in 的列下的数据库

我知道这不是一堆代码，但它构成了一个基本指南让你开始

以上示例

if($_SESSION['loggedin'] !== true){
    header("Location: login.php");
    exit;
} else {
    // rest of protected page
}

Answer 2

确保每个用户都有唯一的登录名（最好是电子邮件）和密码。然后创建一个包含 2 个用户名和密码输入字段的表单，并在回发后将值与数据库进行匹配。如果数据匹配，则将 user_id （或更多用户数据）存储在会话中。

Answer 3

为了找出谁是谁，我会使用 session($_SESSION 变量)

制作一些简单的登录页面，设置一些 id`s 或使用电子邮件作为登录，如果你愿意，你也可以制作一些注册页面。

使用随机字符串作为用户的密码，将其发送给他们并告诉他们在首次登录时更改密码。

不要将密码存储在数据库中。仅使用密码哈希（例如 sha512）。如果您想提高安全性，请使用一些服务器盐或用户盐。
每次登录时，将用户输入的密码哈希值与数据库中存储的密码进行比较。
注意 SQL 注入漏洞，我建议使用 PDO 并插入变量作为参数。

Answer 4

您可以使用 Basic HTTP-Auth 或基于 < a href="http://www.php.net/manual/en/book.session.php" rel="nofollow">会话。在这两种情况下（分别是唯一名称和会话 ID），跟踪用户都非常容易。