Day23:安全开发-PHP应用后台模块SessionCookieToken身份验证唯一性

目录

具体安全知识点

身份验证-Cookie使用

身份验证-Session使用

唯一性判断-Token使用

总结

源码

思维导图


PHP知识点:

功能:新闻列表,会员中心,资源下载,留言版,后台模块,模版引用,框架开发等

技术:输入输出,超全局变量,数据库操作,逻辑架构,包含上传&下载删除;

技术:JS&CSS混用,Cookie,Session操作,MVC架构,ThinkPHP引用等。

具体安全知识点

Cookie和Session都是用来在Web应用程序中跟踪用户状态的机制
1、存储位置不同:
Cookie是存储在客户端(浏览器)上的,而Session是存储在服务器端的。
2、安全性不同:
Cookie存储在客户端上,可能会被黑客利用窃取信息,而Session存储在服务器上,更加安全。
3、存储容量不同:
Cookie的存储容量有限,一般为4KB,而Session的存储容量理论上没有限制,取决于服务器的硬件和配置。
4、生命周期不同:
Cookie可以设置过期时间,即便关闭浏览器或者重新打开电脑,Cookie仍然存在,直到过期或者被删除。而Session一般默认在浏览器关闭后就会过期。
5、访问方式不同:
Cookie可以通过JavaScript访问,而Session只能在服务器端进行访问。
6、使用场景不同:
Cookie一般用于存储小型的数据,如用户的用户名和密码等信息。而Session一般用于存储大型的数据,如购物车、登录状态等信息。


总之,Cookie和Session都有各自的优缺点,选择使用哪一种方式,取决于具体的应用场景和需求。一般来说,如果需要存储敏感信息或者数据较大,建议使用Session;如果只需要存储少量的数据,并且需要在客户端进行访问,可以选择使用Cookie。

在Web应用程序中,使用token和不使用token的主要差异在于身份验证和安全性。
1.身份验证:采用token机制的Web应用程序,用户在登录成功后会收到一个token,这个token可以在每次请求时发送给服务器进行身份验证。而不采用token机制的Web应用程序,一般会使用session机制来保存用户登录状态,服务器会在用户登录成功后创建一个session,之后的每个请求都需要在HTTP头中附带这个session ID,以便服务器能够验证用户身份。
2、安全性:采用token机制的Web应用程序,在服务器上不会存储用户的登录状态,只需要存储token即可。因此,即使token被盗取,黑客也无法获得用户的密码或者其他敏感信息。而不采用token机制的Web应用程序,一般会在服务器上存储用户的登录状态,因此如果服务器被黑客攻击,黑客可能会获得用户的敏感信息。
3、跨域访问:采用token机制的Web应用程序,在跨域访问时,可以使用HTTP头中的Authorization字段来传递token信息,方便实现跨域访问。而不采用token机制的Web应用程序,在跨域访问时,需使用cookie或session来传递用户身份信息,比较麻烦。
总之,采用token机制可以提高Web应用程序的安全性,并且方便实现跨域访问。不过,使用token机制也需要开发者自己来实现身份验证和token的生成和验证,相对来说比较复杂。而不采用token机制,使用session机制则相对简单,但是安全性相对较低。因此,具体采用哪种机制,需要根据实际情况进行权衡和选择。

下面的实验都是使用PHP开发的,php代码执行在后端,只有除此之外的代码会返回给浏览器

身份验证-Cookie使用

生成cookie的原理图过程:见图

1、客户端向服务器发送HTTP请求。

2、服务器检查请求头中是否包含cookie信息。

3、如果请求头中包含cookie信息,则服务器使用该cookie来识别客户端,否则服务器将生成一个新的cookie。

4、服务器在响应头中设置cookie信息并将其发送回客户端。

5、客户端接收响应并将cookie保存在本地。

6、当客户端发送下一次HTTP请求时,它会将cookie信息附加到请求头中。

7、服务器收到请求并检查cookie的有效性。

8、如果cookie有效,则服务器响应请求。否则,服务器可能会要求客户端重新登录。

setcookie(): 设置一个cookie并发送到客户端浏览器。

unset(): 用于删除指定的cookie。

Cookie安全:

信息泄露:如果Cookie中包含敏感信息(如用户ID、密码等),攻击者可以通过窃取Cookie来获取这些敏感数据。为了防止信息泄露,应确保敏感信息在传输和存储过程中进行加密,并使用安 全的传输协议(如HTTPS)来保护Cookie的传输过程。


跨站点脚本攻击(XSS):攻击者可以通过在Web应用程序中注入恶意脚本来获取用户的Cookie。为了防止XSS攻击,开发人员应对用户输入进行正确的验证和过滤,并对输出进行适当的转义,以防止恶意脚本的注入。


跨站点请求伪造(CSRF):攻击者可以通过欺骗用户访问恶意网站来利用用户的身份进行非法操作。为了防止CSRF攻击,可以使用随机生成的令牌(CSRF令牌)来验证每个请求的合法性,并确保令牌在每个请求中都是唯一且难以预测的。


会话劫持:攻击者可以通过窃取用户的会话Cookie来冒充用户身份。为了防止会话劫持,可以通过使用安全标志(如"Secure"和"HttpOnly")来限制Cookie的使用范围,并在会话身份验证上使用额外的保护措施,如双因素身份验证。


不安全的存储:如果Cookie存储在用户计算机上的不安全位置,如明文存储或不加密的存储,攻击者可以轻易地访问和修改Cookie。为了保护Cookie的存储,应将Cookie存储在安全的位置,如服务器端的数据库或加密的本地存储。

setcookie()有四个参数,分别是:Cookie名称,Cookie值,过期时间,Cookie在浏览器的存储路径("/",标识根目录,该Cookie在整个网站都可以访问)。

创建admin-c.php登陆页面

打开项目admin目录分别创建三个文件:

  • admin-c.php登陆文件
  • index-c.php登录成功的首页文件
  • logout-c.php登出文件

使用chtgpt生成一个后台登录的html界面

  • 你需要在实际应用中将登录表单的 action属性指向后台处理登录的脚本(例如 login.php)由于当前就是登录文件为空即可<form action="" method="post">

进行编写登录的程序

1、接收输入账号密码

2、判断账号密码是否正确

  • 需要构建数据库admin【username,password】
  • 输入默认值【admin,123456】(当登陆成功的时候数据显示的,登录不成功数据显示为0)
  • 加入判断是否是POST请求,来防止一直提示登陆失败
  • 加入判断行数是否大于0来判断是否登录成功
// 判断请求是否为 POST
if ($_SERVER["REQUEST_METHOD"] == "POST") {// 检查查询结果行数是否大于 0if (mysqli_num_rows($data) > 0) {

3.正确后生成cookie进行保存

设置cookie值(过期时间,依据用户名密码等生成)

$expire = time() + 60 * 60 * 24 * 30; // 设置 Cookie 过期时间为一个月后setcookie('username', $user, $expire, '/'); // 设置用户名 Cookiesetcookie('password', $pass, $expire, '/'); // 设置密码 Cookie

4.错误的账户密码进行提示*

5.跳转至成功页面,进行跳转到登录成功页面

// 重定向到 index-c.php 页面header('Location: index-c.php');exit();  // 终止脚本执行

创建admin-c.php登陆成功的首页文件,创建logout-c.php登出文件

构建登入成功的HTMl页面,并输出当前登录的用户

  • 给出退出登录的选项,如果触发则跳转到登录页面
  • 登陆前没有cookie是不显示任何用户名的,登陆后显示出用户名
  • 需要加入判断如果获取的cookie值,和数据库中对应的数据值不同,则要跳转到登录页面,使之继续登录,直至相符
<?php
**//登录成功的首页文件
if ($_COOKIE['username']!='admin'and$_COOKIE['password']!='123456')// 重定向到 index-c.php 页面header('Location: index-c.php');
?>**
<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>后台首页</title>
</head>
<body>
<h1>后台首页</h1>
**<p>欢迎您,<?php echo $_COOKIE['username']; ?>!</p>
<p><a href="logout-c.php">退出登录</a></p>**
</body>
</html>

构建登出成功的代码,将cookie值默认为空,并跳转至登陆页面

<?php**setcookie('username', '', time() - 3600, '/');
setcookie('password', '', time() - 3600, '/');
// 跳转到登录页面
header('Location: admin-c.php');**
exit;
?>

admin/admin-c.php:登录验证并且成功后跳转到admin/index-c.php

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>后台登录</title><style>body {background-color: #f1f1f1;}.login {width: 400px;margin: 100px auto;background-color: #fff;border-radius: 5px;box-shadow: 0 0 10px rgba(0,0,0,0.3);padding: 30px;}.login h2 {text-align: center;font-size: 2em;margin-bottom: 30px;}.login label {display: block;margin-bottom: 20px;font-size: 1.2em;}.login input[type="text"], .login input[type="password"] {width: 100%;padding: 10px;border: 1px solid #ccc;border-radius: 5px;font-size: 1.2em;margin-bottom: 20px;}.login input[type="submit"] {background-color: #2ecc71;color: #fff;border: none;padding: 10px 20px;border-radius: 5px;font-size: 1.2em;cursor: pointer;}.login input[type="submit"]:hover {background-color: #27ae60;}</style>
</head>
<body>
<div class="login"><h2>后台登录</h2><form action="" method="post"><label for="username">用户名:</label><input type="text" name="username" id="username" required><label for="password">密码:</label><input type="password" name="password" id="password" required><input type="submit" value="登录"></form>
</div>
</body>
</html><?php
include '../config.php';
//登录文件
/** 1、接受输入的帐号密码* 2、判断帐号密码正确性* 3、正确后生成的cookie进行保存* 3、1错误的帐号密码就进行提示* 4、跳转至成功登录的页面*///1、接受输入的帐号密码
$user=$_POST['username'];
$pass=$_POST['password'];//2、判断帐号密码正确性
//连接数据库 进行数据库查询将数据进行对比
$sql="select * from admin where username='$user' and password='$pass';";
$data=mysqli_query($con,$sql);
if($_SERVER["REQUEST_METHOD"] == "POST"){// 判断用户登录成功// 检查查询结果行数是否大于 0if(mysqli_num_rows($data) > 0){$expire = time() + 60 * 60 * 24 * 30; // 一个月后过期setcookie('username', $user, $expire, '/');  //setcookie('password', $pass, $expire, '/');//echo '<script>alert("登录成功!")</script>';// 重定向到 index-c.php 页面header('Location: index-c.php');exit(); // 终止脚本运行}else{//判断用户登录失败echo '<script>alert("登录失败!")</script>';}
}

admin/index-c.php:检测未授权访问,并跳转登录页面

<?php// 验证cookie不正确
if($_COOKIE['username']!='admin' and $_COOKIE['password']!='123456'){header('Location: admin-c.php');
}?><!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>后台首页</title>
</head>
<body>
<h1>后台首页</h1>
<p>欢迎您,<?php echo $_COOKIE['username']; ?>!</p>
<p><a href="logout-c.php">退出登录</a></p>
</body>
</html>

admin/login-c.php:退出登录

<?phpsetcookie('username', '', time() - 3600, '/');
setcookie('password', '', time() - 3600, '/');
// 跳转到登录页面
header('Location: admin-c.php');
exit;
?>

身份验证-Session使用

生成session原理:

1、客户端向服务器发送HTTP请求。
2、服务器为客户端生成一个唯一的session ID,并将其存储在服务器端的存储器中(如文件、数据库等)。
3、服务器将生成的session ID作为一个cookie发送给客户端。
4、客户端将session ID保存为一个cookie,通常是在本地浏览器中存储。
5、当客户端在发送下一次HTTP请求时,它会将该cookie信息附加到请求头中,以便服务器可以通过该session ID来识别客户端。
6、服务器使用session ID来检索存储在服务器端存储器中的与该客户端相关的session数据,从而在客户端和服务器之间共享数据。

session_start(): 启动会话,用于开始或恢复一个已经存在的会话。
$_SESSION: 用于存储和访问当前会话中的所有变量。
session_destroy(): 销毁当前会话中的所有数据。
session_unset(): 释放当前会话中的所有变量。

Session安全:

会话劫持:会话劫持是指攻击者通过窃取合法用户的会话标识符(如会话ID或令牌)来冒充用户身份。为了防止会话劫持,应采取以下措施:

  • 使用随机生成的、复杂的会话标识符,使其难以猜测。
  • 在会话标识符上实施安全标志,如"Secure"和"HttpOnly",以限制Cookie的使用范围。
  • 在用户身份验证过程中使用额外的保护措施,如双因素身份验证。

会话固定攻击:会话固定攻击是指攻击者通过将自己的会话标识符强制应用于目标用户的会话来控制目标用户的会话。为了防止会话固定攻击,应采取以下措施:

  • 在用户认证之前生成新的会话标识符,而不是在认证后重新使用现有的会话标识符。
  • 在用户身份验证之前销毁旧会话,以确保新会话的安全性。

跨站点脚本攻击(XSS):XSS攻击可以窃取用户会话数据或以其他方式干扰会话。为了防止XSS攻击,应采取以下措施:

  • 对用户输入进行正确的验证和过滤,以防止恶意脚本的注入。
  • 对输出进行适当的转义,以防止恶意脚本在浏览器中执行。

跨站点请求伪造(CSRF):CSRF攻击可以利用用户的身份执行未经授权的操作。为了防止CSRF攻击,应采取以下措施:

  • 使用随机生成的、唯一的CSRF令牌来验证每个请求的合法性。
  • 将CSRF令牌嵌入到表单中,并在每个请求中验证令牌的有效性。

会话超时和注销:应设定适当的会话超时时间,以确保长时间不活动的会话被及时注销。同时,提供明确的注销功能,使用户可以主动终止会话。

Session存储路径:PHP.INI中session.save_path设置路径

在php.ini中设置session存储路径(服务端)

当登录成功后,生成如下文件:

内如如下:

username|s:5:"admin";password|s:6:"123456";

sesion被存储在Cookie里

退出登录后,服务端删除/tmp/tmp下的session文件,浏览器session失效

PHPSEDDID的值就是服务端文件sess_后缀,服务端上这个文件存储铭文信息。服务端是通过这个字符串识别的。

为什么安全?用户退出登录即失效,即使黑客抓到session也没用。

唯一性判断-Token使用

Token生成原理:

1、生成Token并将其存储在Session
2、生成Token并将其绑定在Cookie触发
3、尝试登录表单中带入Token验证逻辑
4、思考Token安全特性

创建Token文件:Token.php,Token_check.php;前端页面类似,复制过来,修改一下有关toke代码

<div class="login"><h2>后台登录</h2>**<!-- 提交表单到 "token_check.php",使用 POST 方法 --><form action="token_check.php" method="post"><!-- 隐藏域用于存储 CSRF token --><input type="hidden" name="token" value="<?php echo $_SESSION['token'] ; ?>">**<label for="username">用户名:</label><input type="text" name="username" id="username" required><label for="password">密码:</label><input type="password" name="password" id="password" required><input type="submit" value="登录"></form>
</div>

Toke生成的代码

每次token随表单提交后都需要重置以保持token的唯一性。

<?php
// 生成Token并将其存储在Session中
**session_start();**
//1.因为是用的session维持会话,token已经绑定到下面的表单了
//2.token,生成之后直接存到session里,主要是方便重置token,
//**每次token随表单提交后都需要重置以保持token的唯一性。**
**$_SESSION['token'] = bin2hex(random_bytes(16));**
?>
Token_check.php,完成有关toke检验的代码
登录成功,token值保存在session中
<?php
session_start();
**// 从 POST 请求中获取 token,如果不存在则设为空字符串
$token = $_POST['token'] ?? '';****if ($token !== $_SESSION['token']) {// token不匹配,禁止访问header('HTTP/1.1 403 Forbidden');// 生成新的 token$_SESSION['token'] = bin2hex(random_bytes(16));// 输出访问被拒绝的信息echo 'Access denied';// 终止脚本执行exit;**
}else{**// 生成新的 token$_SESSION['token'] = bin2hex(random_bytes(16));// 检查用户名和密码是否匹配if($_POST['username']=='admin' && $_POST['password']=='123456'){echo '登录成功!';**// 输出管理员访问信息echo '你是管理员可以访问文件管理页面!';}else{echo '登录失败!';}
}
?>

访问token.php,php代码在后端被执行,生成一个session给浏览器作为CooKie

生成一个token值,存储在服务端的session文件里

同时也保存在浏览器里

输入账号密码提交

登录成功

Cookie的PHPSESSID不变

但是token值变了,服务器上的

刷新再次访问,还是上一次的token,登录失败

token为什么具有唯一性,就是每次数据包交互之后token就会改变,流量包里的token永远是上一次的。

总结

Cookie:一旦生成就会作为身份凭据在有效期内不会再改变

攻击者一旦获得Cookie就能以这个凭据登录

Session:登录成功后,就会生成B/S之间的会话

  • 浏览器:PHPSESSID:session(字符串) 作为Cookie
  • 服务端:session_session文件,存储用户账号密码

攻击者获得Session后却不能直接登录,因为这只是一个服务端对用户的标识,还需要输入密码正确才行。

Token:token在服务端,浏览器都有存储,服务端保存在会话里。每次数据交互后都改变。

攻击者从流量上获得的token永远是上一次的

源码

admin-c.php

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>后台登录</title><style>body {background-color: #f1f1f1;}.login {width: 400px;margin: 100px auto;background-color: #fff;border-radius: 5px;box-shadow: 0 0 10px rgba(0,0,0,0.3);padding: 30px;}.login h2 {text-align: center;font-size: 2em;margin-bottom: 30px;}.login label {display: block;margin-bottom: 20px;font-size: 1.2em;}.login input[type="text"], .login input[type="password"] {width: 100%;padding: 10px;border: 1px solid #ccc;border-radius: 5px;font-size: 1.2em;margin-bottom: 20px;}.login input[type="submit"] {background-color: #2ecc71;color: #fff;border: none;padding: 10px 20px;border-radius: 5px;font-size: 1.2em;cursor: pointer;}.login input[type="submit"]:hover {background-color: #27ae60;}</style>
</head>
<body>
<div class="login"><h2>后台登录</h2><form action="" method="post"><label for="username">用户名:</label><input type="text" name="username" id="username" required><label for="password">密码:</label><input type="password" name="password" id="password" required><input type="submit" value="登录"></form>
</div>
</body>
</html><?php
include '../config.php';
//登录文件
/** 1、接受输入的帐号密码* 2、判断帐号密码正确性* 3、正确后生成的cookie进行保存* 3、1错误的帐号密码就进行提示* 4、跳转至成功登录的页面*///1、接受输入的帐号密码
$user=$_POST['username'];
$pass=$_POST['password'];//2、判断帐号密码正确性
//连接数据库 进行数据库查询将数据进行对比
$sql="select * from admin where username='$user' and password='$pass';";
$data=mysqli_query($con,$sql);
if($_SERVER["REQUEST_METHOD"] == "POST"){// 判断用户登录成功// 检查查询结果行数是否大于 0if(mysqli_num_rows($data) > 0){$expire = time() + 60 * 60 * 24 * 30; // 一个月后过期setcookie('username', $user, $expire, '/');  //setcookie('password', $pass, $expire, '/');//echo '<script>alert("登录成功!")</script>';// 重定向到 index-c.php 页面header('Location: index-c.php');exit(); // 终止脚本运行}else{//判断用户登录失败echo '<script>alert("登录失败!")</script>';}
}

index-c.php

<?php// 验证cookie不正确
if($_COOKIE['username']!='admin' and $_COOKIE['password']!='123456'){header('Location: admin-c.php');
}?><!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>后台首页</title>
</head>
<body>
<h1>后台首页</h1>
<p>欢迎您,<?php echo $_COOKIE['username']; ?>!</p>
<p><a href="logout-c.php">退出登录</a></p>
</body>
</html>

logout-c.php

<?phpsetcookie('username', '', time() - 3600, '/');
setcookie('password', '', time() - 3600, '/');
// 跳转到登录页面
header('Location: admin-c.php');
exit;
?>

admin-s.php

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>后台登录</title><style>body {background-color: #f1f1f1;}.login {width: 400px;margin: 100px auto;background-color: #fff;border-radius: 5px;box-shadow: 0 0 10px rgba(0,0,0,0.3);padding: 30px;}.login h2 {text-align: center;font-size: 2em;margin-bottom: 30px;}.login label {display: block;margin-bottom: 20px;font-size: 1.2em;}.login input[type="text"], .login input[type="password"] {width: 100%;padding: 10px;border: 1px solid #ccc;border-radius: 5px;font-size: 1.2em;margin-bottom: 20px;}.login input[type="submit"] {background-color: #2ecc71;color: #fff;border: none;padding: 10px 20px;border-radius: 5px;font-size: 1.2em;cursor: pointer;}.login input[type="submit"]:hover {background-color: #27ae60;}</style>
</head>
<body>
<div class="login"><h2>后台登录</h2><form action="" method="post"><label for="username">用户名:</label><input type="text" name="username" id="username" required><label for="password">密码:</label><input type="password" name="password" id="password" required><input type="submit" value="登录"></form>
</div>
</body>
</html>
<?php
include '../config.php';
//登录文件-采用session验证//1、接受输入的帐号密码
$user=$_POST['username'];
$pass=$_POST['password'];
$sql="select * from admin where username='$user' and password='$pass';";
$data=mysqli_query($con,$sql);
if($_SERVER["REQUEST_METHOD"] == "POST"){// 登录密码可以查到,及正确,生成sessionif(mysqli_num_rows($data) > 0){session_start();  // 启动会话,用于开始或恢复一个已经存在的会话。// $_SESSION: 用于存储和访问当前会话中的所有变量。$_SESSION['username']=$user;$_SESSION['password']=$pass;header('Location: index-s.php');exit();}else{echo '<script>alert("登录失败!")</script>';}}

index-s.php

<?php
//登录成功首页文件-采用session验证
//判断省去了数据库查询获取帐号密码的操作 直接赋值
session_start();
if($_SESSION['username']!='admin' && $_SESSION['password']!='123456'){header('Location: admin-s.php');
}?><!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>后台首页</title>
</head>
<body>
<h1>后台首页</h1>
<p>欢迎您,<?php echo $_SESSION['username']; ?>!</p>
<p><a href="logout-s.php">退出登录</a></p>
</body>
</html>

logout-s.php

<?php
// 开始会话
session_start();// 清除 SESSION 变量,并销毁会话
session_unset(); // session_destroy(): 销毁当前会话中的所有数据。
session_destroy(); // 释放当前会话中的所有变量。// 重定向到登录页面
header('Location: admin-s.php');
exit;
?>

token.php

<?php
// 生成Token并将其存储在Session中
session_start();//1.因为是用的session维持会话,token已经绑定到下面的表单了
//2.token,生成之后直接存到session里,主要是方便重置token,
//每次token随表单提交后都需要重置以保持token的唯一性。$_SESSION['token'] = bin2hex(random_bytes(16));?><!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>后台登录</title><style>body {background-color: #f1f1f1;}.login {width: 400px;margin: 100px auto;background-color: #fff;border-radius: 5px;box-shadow: 0 0 10px rgba(0,0,0,0.3);padding: 30px;}.login h2 {text-align: center;font-size: 2em;margin-bottom: 30px;}.login label {display: block;margin-bottom: 20px;font-size: 1.2em;}.login input[type="text"], .login input[type="password"] {width: 100%;padding: 10px;border: 1px solid #ccc;border-radius: 5px;font-size: 1.2em;margin-bottom: 20px;}.login input[type="submit"] {background-color: #2ecc71;color: #fff;border: none;padding: 10px 20px;border-radius: 5px;font-size: 1.2em;cursor: pointer;}.login input[type="submit"]:hover {background-color: #27ae60;}</style>
</head>
<body>
<div class="login"><h2>后台登录</h2><form action="token_check.php" method="post"><input type="hidden" name="token" value="<?php echo $_SESSION['token'] ; ?>"><label for="username">用户名:</label><input type="text" name="username" id="username" required><label for="password">密码:</label><input type="password" name="password" id="password" required><input type="submit" value="登录"></form>
</div>
</body>
</html>

token_check.php

<?php
session_start();
// 从 POST 请求中获取 token,如果不存在则设为空字符串
$token = $_POST['token'] ?? '';if ($token !== $_SESSION['token']) {// token不匹配,禁止访问header('HTTP/1.1 403 Forbidden');// 生成新的 token$_SESSION['token'] = bin2hex(random_bytes(16));// 输出访问被拒绝的信息echo 'Access denied';// 终止脚本执行exit;
}else{// 生成新的 token$_SESSION['token'] = bin2hex(random_bytes(16));// 检查用户名和密码是否匹配if($_POST['username']=='admin' && $_POST['password']=='123456'){echo '登录成功!';// 输出管理员访问信息echo '你是管理员可以访问文件管理页面!';}else{echo '登录失败!';}
}
?>

思维导图

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/726860.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Mysql date_format 格式化时间输出

网上的文章都是列一个大而全的表格&#xff0c;还有错误&#xff0c;我完全用不到那么多形式。遂自己开篇文章记录。 把datetime格式化为形如 2024-12-15 18:59:59的形式&#xff1a; %Y-%m-%d %H:%i:%S# 日期格式化输出select date_format(now(),%Y-%m-%d %H:%i:%S) time1,no…

C语言指针总结(完结篇)

前言 这篇博客终于迎来了指针博客的大结局&#xff0c;本篇主要分析习题来回顾之前的指针总结的知识点&#xff0c;这篇博客的题有点绕&#xff0c;哈哈算是经典了 个人主页&#xff1a;小张同学zkf 若有问题 评论区见 感兴趣就关注一下吧 目录 1. sizeof和strlen的对比 1.1 …

开源爬虫技术在金融行业市场分析中的应用与实战解析

一、项目介绍 在当今信息技术飞速发展的时代&#xff0c;数据已成为企业最宝贵的资产之一。特别是在${industry}领域&#xff0c;海量数据的获取和分析对于企业洞察市场趋势、优化产品和服务至关重要。在这样的背景下&#xff0c;爬虫技术应运而生&#xff0c;它能够高效地从互…

企业级数字人形象自定义解决方案

在品牌传播、线上营销等领域&#xff0c;一个独特且符合企业形象的数字人形象&#xff0c;无疑能为企业带来更强的品牌识别度和市场竞争力。美摄科技&#xff0c;作为业界领先的数字人形象解决方案提供商&#xff0c;凭借多年的技术积累和深厚的行业经验&#xff0c;推出了一套…

Linux第68步_旧字符设备驱动的一般模板

file_operations结构体中的函数就是我们要实现的具体操作函数。 注意&#xff1a; register_chrdev()和 unregister_chrdev()这两个函数是老版本驱动使用的。现在新字符设备驱动已经不再使用这两个函数&#xff0c;而是使用Linux内核推荐的新字符设备驱动API函数。 1、创建C…

公众号公司主体变更如何操作?

公众号迁移有什么用&#xff1f;只能改主体吗&#xff1f;好多朋友都想做公众号迁移&#xff0c;但是又不太清楚具体有啥用&#xff0c;今天我就来详细说说。首先&#xff0c;公众号迁移最重要的作用就是可以修改主体。比如你的公众号原来是 A 公司的&#xff0c;现在 A 公司不…

SpringCloud(20)之Skywalking Agent原理剖析

一、Agent原理剖析 使用Skywalking的时候&#xff0c;并没有修改程序中任何一行 Java 代码&#xff0c;这里便使用到了 Java Agent 技术&#xff0c;我 们接下来展开对Java Agent 技术的学习。 1.1 Java Agent Java Agent 是从 JDK1.5 开始引入的&#xff0c;算是一个比较老的…

STL中push_back和emplace_back效率的对比

文章目录 过程对比1.通过构造参数向vector中插入对象&#xff08;emplace_back更高效&#xff09;2.通过插入实例对象&#xff08;调用copy函数&#xff09;3.通过插入临时对象&#xff08;调用move函数&#xff09; 效率对比emplace_back 的缺点 我们以STL中的vector容器为例。…

解决 Pandas 导出文件出现 dtype: object 字样

文章目录 1. 问题2. 解决方法 1. 问题 python 用 pandas 输出 excel 文件时&#xff0c;发现有些列的单元格出现 “dtype: object” 的字样&#xff0c;如下图&#xff1a; 这是 pandas 没有处理好导致的 2. 解决方法 结果用 .values 进行输出&#xff0c;这样就转成字符串…

聊天室项目

服务器 #include <myhead.h> #define SER_IP "192.168.122.39" #define SER_PORT 8888 typedef struct Node //链表存储客户端的所有信息 {struct sockaddr_in cin; //存储客户端的网络地址信息struct Node *next; }*List; typedef struct Message//消息结构…

洛谷 P1731 [NOI1999] 生日蛋糕

题目 题目链接 自己没看题解写的&#xff0c;摸石头过河&#xff0c;解释一下 首先&#xff0c;输入输出都是正整数。先搞定输入&#xff0c;再判断条件&#xff0c;如果无解&#xff0c;输出0&#xff0c;否则输出蛋糕外表面面积Q&#xff08;这里用全局变量&#xff0c;开l…

数据库:2024/3/6

作业1&#xff1a;使用C语言完成数据库的增删改 代码&#xff1a; #include <myhead.h>//定义添加员工信息函数 int Add_worker(sqlite3 *ppDb) {//准备sql语句printf("请输入要添加的员工信息:\n");//从终端获取员工信息char rbuf[128]"";fgets(r…

React学习

&#x1f4d1;前言 本文主要是【React】——React基础的文章&#xff0c;如果有什么需要改进的地方还请大佬指出⛺️ &#x1f3ac;作者简介&#xff1a;大家好&#xff0c;我是听风与他&#x1f947; ☁️博客首页&#xff1a;CSDN主页听风与他 &#x1f304;每日一句&#x…

C++ 哈希表OJ

目录 1、1. 两数之和 2、面试题 01.02. 判定是否互为字符重排 3、217. 存在重复元素 4、 219. 存在重复元素 II 5、49. 字母异位词分组 频繁查找某一个数的时候可以使用哈希表&#xff0c;哈希表可以使用容器&#xff0c;也可以使用数组模拟&#xff0c;当元素是字符串中的字…

算法打卡day9|栈与队列篇01|Leetcode 232.用栈实现队列、225. 用队列实现栈

栈与队列理论基础 栈&#xff08;Stack&#xff09; 栈是一种后进先出&#xff08;LIFO&#xff09;的数据结构,即最近添加到栈中的元素将是第一个被移除的元素。 栈通常有两个主要的操作&#xff1a;push 用于添加一个元素到栈顶&#xff0c;而 pop 用于移除栈顶的元素。此外…

二维码样式修改如何在线处理?在电脑上改二维码图案的方法

随着网络的不断发展&#xff0c;二维码的应用场景不断增多&#xff0c;很多人都会将内容放到二维码中&#xff0c;通过扫码的方式将储存在云端的数据调取显示。而面对不同的用途时&#xff0c;对二维码的样式也会有单独的要求&#xff0c;比如需要改变颜色、加入文字、logo、尺…

网络调试助手使用MQTT协议与Mosquitto通信(3)

一、连接报文 一开始设备需要连接到mqtt服务器&#xff0c;连接时的数据包内需要携带对应的设备ID&#xff0c;以及用户名和密码。这使用默认的用户名和密码。设备ID每一个设备都需要设置为不同的&#xff0c;两个相同的ID只能允许一台设备在线&#xff0c;另一个相同的ID的设备…

【C++庖丁解牛】模版初阶

&#x1f4d9; 作者简介 &#xff1a;RO-BERRY &#x1f4d7; 学习方向&#xff1a;致力于C、C、数据结构、TCP/IP、数据库等等一系列知识 &#x1f4d2; 日后方向 : 偏向于CPP开发以及大数据方向&#xff0c;欢迎各位关注&#xff0c;谢谢各位的支持 目录 1. 泛型编程2. 函数模…

Dgraph 入门教程二《 快速开始》

1、Clound 云 云地址&#xff1a;Dgraph Cloud 登录Clound 云后&#xff0c;可以用云上的东西操作&#xff0c;可以用谷歌账号或者github账号登录。 启动云 &#xff08;1&#xff09;在云控制台&#xff0c;点击 Launch new backend. &#xff08;2&#xff09;选择计划&…