身份认证交互式动态网站中的用户安全认证

网站安全认证  时间:2021-02-11  阅读:()

第27卷 第5期 信 息 技 术 VOL.27 NO.5

2003年5月 INFORMATION TECHNOLOGY May.2003

交互式动态网站中的用户安全认证

陈 丹

(黑龙江中医药大学网控中心,哈尔滨150000)

摘要:主要介绍了在交互式动态网站中Http协议的特点和缺陷,阐述了PHP中Session技术的工

作方式,在PHP中设计实现了身份认证,并利用Se s s ion克服了HTTP协议的缺陷,又防止了信

息的泄露,这种机制思想简单,易于实现,而且方便了编程者的使用,是一个比较好的解决方

案。

关键词: HTTP协议; PHP;身份认证; Session

中图分类号:TP393.08 文献标识码:B 文章编号:1009-2552(2003)05-0076- 02

User security authentication in interactive shifting website

CHEN Dan

(Heilongjiang University ofTraditional Chinese Medicine,Network Control Center,Harbin 150000,China)

Abstract :This paper mainly introduces the characteristic and defect ofhttp protocol in interactive shiftingwebsite,and illustrates the way of working of session technology in PHP. It designs and implements identityauthentication in PHP and utilizes session technology to overcome the defect of http. It prevents the revelationof information.This mechanism is simpler and easier.And it makes programing convenient. It is a better solu2t io n.

Key words : http protocol ; PHP; authentication;session

1 通信协议与身份认证 间没有任何关系。也就是说,后续的连接无法得到

1. 1 HTTP协议的特点 有关上次连接的任何信息。

用最新的P HP技术能够动态地产生网页,实现 1.2 身份认证在HTT P协议中的困难

用户同服务器间进行即时交流。用P HP编写的脚 正是HTT P协议采用一次连接和无记忆这两个本所生成的网页,就是通过HTTP协议来进行传输 特点,也就是HTTP协议的缺陷所在,使得基于的。HTTP协议采用一次连接和无记忆的方式来进 WWW方式的身份认证遇到了一些困难。

行通讯。 HTTP协议采用一次连接的通讯方式,而且HT2

一次连接指的是用户向服务器发送了一个请 TP协议是无状态记忆的方式,因此Web服务器无法求。例如要访问一个页面,那么用户的浏览器和 知道此次连接和上次连接的关系,当一次连接断开

采用PHP 4中Session技术来实现将用户和服务器 }

所建立的连接状态都记录下。 ? >

2 在P HP中身份认证的设计与实现 有了包含身份认证的文件,只需要在需要进行网站的登陆界面让用户输入用户名和密码,点 身份认证的页面中调用require( “us e - lo g in. inc” ) ,击“确定”按扭,于是浏览器就将两个数据发送给 将身份认证函数包含进程序内。然后程序首先调用WebServer 。 身份认证函数。如果身份认证得到了通过,就可以P HP中可以设计登录函数和完成认证功能的 控制显示相应的页面,如果身份认证没有得到了通P HP脚本。 过,那么则显示相应的出错信息。

首先将负责登录的函数us er- login()写入到文 3 利用Se ss ion技术实现安全认证件us er- login. inc中。 在PHP 4. 04中加入了对Sess ion功能的支持,

如果成功,值为“认证通过” ,否则为相应的出错信 量。Ses s ion简单、安全。 Ses sion还可以用跟踪访问息。认证通过时,可通过调用Header函数将显示页 者的习惯,可以跟踪访问者从一个主页到另外的一面重新定向到需要显示的页面。在调用函数中含有 个主页,这样对站点的更新和定位有好的,同时还可“Location:URL” ,浏览器就会自动访问URL所指向 以记录一个人是否授权了,如果授权后下次进入相的页面。 同的页面就不用再输入密码了。

身份认证的PHP脚本内容: 3. 1 Session的工作方式

<?php 所有用PHP的Sess ion的页面必须用Sessiood功re quire(“us e- lo g in. inc” ) ; 能函数来告诉PHP引擎来将有关的S e s s ion调到内flag=@user- login( inname, inpass, RE2 存中 。为了响应http请求,函数Session-start ()可以MOTE-ADDR) ; 在coo kie域里或请求的参数中取得Ses s ion- id 。如IF ( flag= “认证通过” ) ; 果不能找到Sess ion- id就新建一个Ses s ion。{ S es s ion的工作原理是将文件信息保存在服务器header( ‘lo cation: 的文件系统之中,而且数据的保存和获取是由PHPhttp:ΠΠ. . . . . . . . . . . . . . .; 自动完成的,而直接使用Cookie,就要自己动手进行

} 数据的保存和获取。else 利用Session可以使一个用户在多个主页之间{ 切换的时候保存其信息,这样以前根本无法做到的e cho flag: 事情就变得简单了 。同Ap p lic atio n相比,Ses s ion对} 象更接近于普遍应用程序中所使用全局变量。Ses2? > s io n利用Cookie的身份认证功能,将用户在浏览网同登录函数一样,将身份认证函数写入到us er- 站时需要保存的信息保存在服务器上,这样Sess ions ecurity. inc文件中。 既克服了HTTP协议的缺陷而实现全局变量,是它us er- s ecurity. inc的内容: 使编程者从繁琐的Cookie设置和解析中脱离出来。<?php 3.2 在PHP中使用Sessionfunction user - authentication ( login - cookie脚本中s Ip, us er) 定义全局变量的方法,使得这个全局变量在同一个{ΠΠ函数体 S es s ion中对于所有的PHP脚本都有效。HTTP是一

种无状态协议, In te rne t是无状态 (下转第80页)

—77 —

图2 写缓冲区并编程的程序流程图 利用S es s ion的设置和PHP操作S es s ion的函数,程序清单: 首先将Session Cookie中的Session Id传递给PHP脚

;M58LW064D写缓冲区并编程的程序 本,然后Session-start ()函数根据Session Id的内容,

ORG 0200H 打开并保存Session数据,从中解析出所保存的全局Write:MOV A,#2 CH ;外部存储器总线在P4 变量,这样PHP就可以像使用普通变量一样使用全-P7中,非复用方式。 局变量了。

—80 —

rfchost:洛杉矶vps/双向CN2 GIA,1核/1G/10G SSD/500G流量/100Mbps/季付$23.9

rfchost怎么样?rfchost是一家开办了近六年的国人主机商,一般能挺过三年的国人商家,还是值得入手的,商家主要销售VPS,机房有美国洛杉矶/堪萨斯、中国香港,三年前本站分享过他家堪萨斯机房的套餐。目前rfchost商家的洛杉矶机房还是非常不错的,采用CN2优化线路,电信双程CN2 GIA,联通去程CN2 GIA,回程AS4837,移动走自己的直连线路,目前季付套餐还是比较划算的,有需要的可...

硅云香港CN2+BGP云主机仅188元/年起(香港云服务器专区)

硅云怎么样?硅云是一家专业的云服务商,硅云的主营产品包括域名和服务器,其中香港云服务器、香港云虚拟主机是非常受欢迎的产品。硅云香港可用区接入了中国电信CN2 GIA、中国联通直连、中国移动直连、HGC、NTT、COGENT、PCCW在内的数十家优质的全球顶级运营商,是为数不多的多线香港云服务商之一。目前,硅云香港云服务器,CN2+BGP线路,1核1G香港云主机仅188元/年起,域名无需备案,支持个...

FBICDN,0.1元解决伪墙/假墙攻击,超500 Gbps DDos 防御,每天免费流量高达100G,免费高防网站加速服务

最近很多网站都遭受到了伪墙/假墙攻击,导致网站流量大跌,间歇性打不开网站。这是一种新型的攻击方式,攻击者利用GWF规则漏洞,使用国内服务器绑定host的方式来触发GWF的自动过滤机制,造成GWF暂时性屏蔽你的网站和服务器IP(大概15分钟左右),使你的网站在国内无法打开,如果攻击请求不断,那么你的网站就会是一个一直无法正常访问的状态。常规解决办法:1,快速备案后使用国内服务器,2,使用国内免备案服...

网站安全认证为你推荐
yy频道中心yy语音怎么进频道中心手游运营手册和平精英打到王者有什么要求云播怎么看片云播看不了视频吴晓波频道买粉《吴晓波频道》《罗辑思维》《专栏精粹》怎么评价?手机区号手机电话号码开头95共15位号码是什么手机号码?数码资源网有什么网站弄相片效果比较好的?开机滚动条谁会调开机的滚动条人人逛街包公免费逛街打一成语安装迅雷看看播放器迅雷看看不能播放,说我尚未安装迅雷看看播放器ejb开发EJB是什么?
虚拟主机测评 什么是域名解析 泛域名绑定 qq云存储 uk2 http500内部服务器错误 NetSpeeder 网站实时监控 太原联通测速平台 如何安装服务器系统 网购分享 带宽租赁 沈阳主机托管 上海电信测速 帽子云排名 中国电信测速网站 免费蓝钻 xuni 双11促销 google搜索打不开 更多