PHP脚本的10个技巧(5)

采用PHP的用户认证
如果你希望在每一个脚本的基础上实现口令保护功能,那么你可以联合使用header()函数和$PHP_AUTH_USER、$PHP_AUTH_PW全局变量来创造一个基本的认证方案。通常的、基于服务器的认证请求/响应回合很象下面这个样子:

1.用户向一台Web服务器请求一个文件。如果文件在一个受到保护的区域以内,服务器就在响应的文件头内加上401(非法用户)字符串作为回应。

2.浏览器看见该响应之后就弹出用户名/口令对话框。

3.用户在对话框中输入用户名和口令,然后单击“确认”按钮把这些信息送回到服务器。

4.如果用户名和口令有效,被保护的文件将对用户显示,并且,只要现在经过证实的用户一直在保护区域以内。以上的认证过程都有效。

 

一个简单的PHP脚本可以模仿HTTP认证请求/响应系统,方法就是发送适当的HTTP头来使得用户名/口令对话框自动出现在客户机的屏幕上。PHP把用户输入对话框的信息存储在$PHP_AUTH_USER和$PHP_AUTH_PW变量中。使用这些变量,你就可以把不符合用户名/口令检验的列表存放到某个文本文件、数据库或者你任何自己指定的地方

注意:$PHP_AUTH_USER、$PHP_AUTH_PW和$PHP_AUTH_TYPE这三个全局变量只有在PHP被当作一个模块安装时才是有效的。如果你正在使用PHP的CGI版本,那么你只能受限于采用基于.htaccess的认证或基于数据库的认证方式,这样你就必需设计HTML表单让用户输入用户名和口令,再让PHP进行有效性的检查。

下面的这个例子显示对2个设定值的检查,但在理论上和以上的用户名和口令检查并无本质的不同。

<?
/* Check for values in $PHP_AUTH_USER and $PHP_AUTH_PW */

if ((!isset($PHP_AUTH_USER)) || (!isset($PHP_AUTH_PW))) {

/* No values: send headers causing dialog box to appear */
  header('WWW-Authenticate: Basic realm="My Private Stuff"');
  header('HTTP/1.0 401 Unauthorized');
  echo 'Authorization Required.';
  exit;

} else if ((isset($PHP_AUTH_USER)) && (isset($PHP_AUTH_PW))){

/* Values contain some values, so check to see if they're correct */

if (($PHP_AUTH_USER != "validname") || ($PHP_AUTH_PW != "goodpassword")) {
    /* If either the username entered is incorrect, or the password entered is incorrect, send the headers causing dialog box to appear */
    header('WWW-Authenticate: Basic realm="My Private Stuff"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Authorization Required.';
    exit;
  } else if (($PHP_AUTH_USER == "validname") || ($PHP_AUTH_PW == "goodpassword")) {
    /* if both values are correct, print success message */
    echo "<P>You're authorized!</p>";
  }
}
?>

记住,当你正在使用基于文件的保护措施时,这种方式不是绝对能保护目录的安全毯。这对你们中的大多数人而言是显而易见的,但是,如果你的大脑在弹出对话框之间和保护给定目录之间建立一个连接,那么你必须费点劲来认识这一进程。

(0)

相关推荐

  • PHP脚本的10个技巧(3)

    包含文件 如果你目前着手的Web站点开发项目规模较大,那你对代码重用必定深有体会,比方说,不管是HTML还是PHP代码块,只要项目足够大,比如有1000个Web页,你即便是一年只修改一次包含版权信息的页脚也会让你痛不欲生. 而PHP可以通过一些函数帮助你重用代码,你要具体用到的函数依赖于你打算重用的内容. 主要的函数是: * include() 和 include_once() * require() 和require_once() include()函数包含给定的文件,比如: include(

  • PHP脚本的10个技巧(4)

    动态创建图象 在安装了某些第三方函数库之后,结合你的图形处理技能,你就可以用PHP创建和处理图像了.事实上,你也不需要太高的几何学知识.我在中学的时候这门功课总是不及格,现在不也照样会用PHP创建图像! 在使用基本的图像创建函数之前,你需要安装GD库.如果要用到和JPEG相关的图像创建函数你还需要安装jpeg-6b.在图像中使用Type 1字体的时候还必须安装t1lib. 在这里,你还需要对你的系统进行进一步地调整.首先,你必须安装t1lib以提供图象处理支持,接下来要安装jpeg-6b.第三步

  • PHP脚本的10个技巧(2)

    会话用法 PHP 4.0有一个一直为人所期待的特性,这就是PHP的会话(session)支持.相比之下,PHP 3.0的用户则不得不使用第三方的程序库或完全不能具备这项功能.缺乏会话支持能力是PHP最大的缺陷之一,也是它最受人指摘的地方.不过,随着会话支持从早期测试版本的PHP 4.0开始就成为后者的一部分,这个障碍也荡然无存了. 有了会话支持,你就可以在用户访问网络站点期间维持用户特定的变量而无须象现在这样:设置多个cookie.使用隐蔽表单域或在你可能经常要连结的一个数据库内存储信息等. 在

  • PHP脚本的10个技巧(5)

    采用PHP的用户认证 如果你希望在每一个脚本的基础上实现口令保护功能,那么你可以联合使用header()函数和$PHP_AUTH_USER.$PHP_AUTH_PW全局变量来创造一个基本的认证方案.通常的.基于服务器的认证请求/响应回合很象下面这个样子: 1.用户向一台Web服务器请求一个文件.如果文件在一个受到保护的区域以内,服务器就在响应的文件头内加上401(非法用户)字符串作为回应. 2.浏览器看见该响应之后就弹出用户名/口令对话框. 3.用户在对话框中输入用户名和口令,然后单击"确认&q

  • PHP脚本的10个技巧(7)

    PHP和Java PHP功能的另外一个高招是其调用已有Java对象的方法的能力,这种功能可以让你把PHP集成进已有的基于Java的应用程序.如果你正在你的工作场合推广PHP ,那你算找到可大吹特吹的靓点了,你知道,Java这玩艺儿无处不在. 为了用到这一功能,你需要在服务器上安装Java虚拟机(JVM).如果你打算安装(或已经安装了)来自Sun.Kaffe.IBM或Blackdown的JDK,那你现在可谓已入正途. 当你配置PHP的时候,你将需要给配置指令增加--with-java参数,然后修改

  • PHP脚本的10个技巧(6)

    PHP和COM 如果你是一名冒险份子,而且你正在使用CGI.ISAPI或Apache模块版本的Windows系统上运行着PHP,那么你也可以获得系统的COM功能.现在,解释COM(微软的组件对象模型)的工作留给了微软和那些大部头的图书来完成.然而,知道点COM也没什么错,下面有一个普通的(没有双关语,针对很普通)代码小片断. 这代码小片断使用PHP在后台启动Microsoft Word.打开一个新文件.键入一些文本.保存该文件然后关闭应用程序: <? // create a reference

  • PHP脚本的10个技巧(8)

    PHP和XML PHP包含支持Expat 解析器的可选XML扩展.PHP中和XML相关的函数可以让你创建一个解析器来处理有效的XML文档.如果你在使用的Apache版本在1.3.7之后,那你就不需要其他附加的函数库了.而你所需要做的只是配置PHP--with-xml. PHP手册中有好几个创建基于PHP的XML解析器优秀实例.此外,New Riders图书Web Application Development with PHP 4.0也对结合PHP的XML用法有详尽的阐述,该数的作者之一已经在Z

  • PHP脚本的10个技巧(1)

    把PHP安装为Apache DSO PHP 经常和Apache Web服务器一道用于Linux/Unix平台.当我们在Apache环境下安装PHP的时候,你有三种安装模式可供选择:静态模块.动态模块(DSO)和CGI. 我建议你最好把PHP安装为Apached的DSO ,这种安装模式的维护和升级都相当简单.比方说,假设你原先只安装了PHP的数据库支持功能.可过了几天之后你又决定要为PHP添加加密功能.很简单,你只要键入make clean命令,然后增加新的配置选项,接着再执行make和 make

  • 优化Node.js Web应用运行速度的10个技巧

    Node.js 受益于它的事件驱动和异步的特征,已经很快了.但是,在现代网络中只是快是不行的.如果你打算用 Node.js 开发你的下一个Web 应用的话,那么你就应该无所不用其极,让你的应用更快,异常的快.本文将介绍 10 条,经过检验得知可大大提高 Node 应用的技巧.废话不多说,让我们逐条来看看. 1. 并行 创建 Web 应用的时候,你可能要多次调用内部 API 来获取各种数据.比如说,假设在 Dashboard 页面上,你要执行下面这几个调用: 用户信息 -getUserProfil

  • Python自动化之数据驱动让你的脚本简洁10倍【推荐】

    前言 数据驱动是一种思想,让数据和代码进行分离,比如爬虫时,我们需要分页爬取数据时,我们往往把页数 page 参数化,放在 for 循环 range 中,假如没有 range 这个自带可以生产数字序列的方法可以用,我们是不是得手动逐个添加? 现实场景中就存在大量这样的例子,比如我之前写的爬取上海各地区房租情况的时候,对地区进行遍历的时候,为了偷懒,我直接把这些地区的拼音全称放在了列表里,组合成各地区房源的链接.最后文章写完了,有读者反馈,少了徐汇区的统计数据.这种小数量的数据都出现了纰漏,可想而

随机推荐