php 基於表單密碼驗證與HTTP驗證用法_PHP教程

　PHP 的 HTTP 認證機制僅在 PHP 以 Apache 模組方式運行時才有效，因此該功能不適用於 CGI 版本。在 Apache 模組的 PHP 指令碼中，可以用 header() 函數來向用戶端瀏覽器發送“Authentication Required”資訊，使其彈出一個使用者名稱／密碼輸入視窗。當使用者輸入使用者名稱和密碼後，包含有 URL 的 PHP 指令碼將會加上 預定義變數 PHP_AUTH_USER ， PHP_AUTH_PW 和 AUTH_TYPE 被再次調用，這三個變數分別被設定為使用者名稱，密碼和認證類型。預定義變數儲存在 $_SERVER 或者 $HTTP_SERVER_VARS 數組中。支援“Basic”和“Digest”（自 PHP 5.1.0 起）認證方法。請參閱 header() 函數以擷取更多資訊。

PHP 版本問題: Autoglobals 全域變數，包括 $_SERVER 等，自 PHP 4.1.0 起有效， $HTTP_SERVER_VARS 從 PHP 3 開始有效。

以下是在頁面上強迫用戶端認證的指令碼範例：

例子 34-1. Basic HTTP 認證範例

if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {
header ( 'WWW-Authenticate: Basic realm="My Realm"' );
header ( 'HTTP/1.0 401 Unauthorized' );
echo 'Text to send if user hits Cancel button' ;
exit;
} else {
echo "

Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .

" ;
echo "

You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.

" ;
}
?>

例子 34-2. Digest HTTP 認證範例

本例示範怎樣實現一個簡單的 Digest HTTP 認證指令碼。更多資訊請參考 RFC 2617 。

$realm = 'Restricted area' ;

//user => password
$users = array( 'admin' => 'mypass' , 'guest' => 'guest' );

if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {
header ( 'HTTP/1.1 401 Unauthorized' );
header ( 'WWW-Authenticate: Digest realm="' . $realm .
'" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' );

die( 'Text to send if user hits Cancel button' );
}

// analize the PHP_AUTH_DIGEST variable
preg_match ( '/username="(?P.*)",s*realm="(?P.*)",s*nonce="(?P.*)",s*uri="(?P.*)",s*response="(?P.*)",s*opaque="(?P.*)",s*qop=(?P.*),s*nc=(?P.*),s*cnonce="(?P.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest );

if (!isset( $users [ $digest [ 'username' ]]))
die( 'Username not valid!' );

// generate the valid response
$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]);
$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);
$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 );

if ( $digest [ 'response' ] != $valid_response )
die( 'Wrong Credentials!' );

// ok, valid username & password
echo 'Your are logged in as: ' . $digest [ 'username' ];

?>

相容性問題: 在編寫 HTTP 標題代碼時請格外小心。為了對所有的用戶端保證相容性，關鍵字“Basic”的第一個字母必須大寫為“B”，分界字串必須用雙引號（不是單引號）引用；並且在標題行 HTTP/1.0 401 中，在 401 前必須有且僅有一個空格。

在以上例子中，僅僅只列印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值，但在實際運用中，可能需要對使用者名稱和密碼的合法性進行檢查。或許進行資料庫教程的查詢，或許從 dbm 檔案中檢索。

注意有些 Internet Explorer 瀏覽器本身有問題。它對標題的順序顯得似乎有點吹毛求疵。目前看來在發送 HTTP/1.0 401 之前先發送 WWW-Authenticate 標題似乎可以解決此問題。

自 PHP 4.3.0 起，為了防止有人通過編寫指令碼來從用傳統外部機制認證的頁面上擷取密碼，當外部認證對特定頁面有效，並且 安全模式 被開啟時，PHP_AUTH 變數將不會被設定。但無論如何， REMOTE_USER 可以被用來辨認外部認證的使用者，因此可以用 $_SERVER['REMOTE_USER'] 變數。

配置說明: PHP 用是否有 AuthType 指令來判斷外部認證機制是否有效。

注意，這仍然不能防止有人通過未認證的 URL 來從同一伺服器上認證的 URL 上偷取密碼。

Netscape Navigator 和 Internet Explorer 瀏覽器都會在收到 401 的服務端返回資訊時清空所有的本地瀏覽器整個域的 Windows 認證緩衝。這能夠有效登出一個使用者，並迫使他們重新輸入他們的使用者名稱和密碼。有些人用這種方法來使登入狀態“到期”，或者作為“登出”按鈕的響應行為。

例子 34-3. 強迫重新輸入使用者名稱和密碼的 HTTP 認證的範例

function authenticate () {
header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' );
header ( 'HTTP/1.0 401 Unauthorized' );
echo "You must enter a valid login ID and password to access this resourcen" ;
exit;
}

if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) ||
( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {
authenticate ();
}
else {
echo "

Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]}
" ;
echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;
echo "

n" ;
}

該行為對於 HTTP 的 Basic 認證標準來說並不是必須的，因此不能依靠這種方法。對 Lynx 瀏覽器的測試表明 Lynx 在收到 401 的服務端返回資訊時不會清空認證檔案，因此只要對認證檔案的檢查要求沒有變化，只要使用者點擊“後退”按鈕，再點擊“前進”按鈕，其原有資源仍然能夠被訪問。不過，使用者可以通過按“_”鍵來清空他們的認證資訊

　　在下例中,我們是使用$PHP_AUTH_USER和$PHP_AUTH_PW這兩個變數來驗證進入者是否合法並允許進入。在本例中被允許登入的使用者名稱和密碼對分別為tnc和nature：

if(!isset($PHP_AUTH_USER))

{

Header("WWW-Authenticate: Basic realm="My Realm"");

Header("HTTP/1.0 401 Unauthorized");

echo "Text to send if user hits Cancel buttonn";

exit;

}

else

{

if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") )

{

// 如果是錯誤的使用者名稱稱/密碼對，強制再驗證

Header("WWW-Authenticate: Basic realm="My Realm"");

Header("HTTP/1.0 401 Unauthorized");

echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid.";

exit;

}

else

{

echo "Welcome tnc!";

}

?>

　　事實上再實際引用中不大可能如上面使用程式碼片段明顯的使用者名稱稱/密碼對，而是利用資料庫或者加密的密碼檔案存取它們。

6.3 根據指定的驗證資訊核實使用者身份

　　首先，我們可以使用以下代碼確定使用者是否已經輸入了使用者名稱和密碼，並顯示出使用者輸入的資訊。

if (!isset($PHP_AUTH_USER)) {

header(’WWW-Authenticate: Basic realm="My Private Stuff"’);

header(’HTTP/1.0 401 Unauthorized’);

echo ’Authorization Required.’;

exit;

}

else {

echo "

You have entered this username: $PHP_AUTH_USER

You have entered this password: $PHP_AUTH_PW

The authorization type is: $PHP_AUTH_TYPE

";

}

?>

說明：

isset（）函數用於確定某個變數是否已被賦值。根據變數值是否存在，返回true或false。

header（）函數用於發送特定的HTTP標題。注意，使用header（）函數時，一定要在任何產生實際輸出的HTML或PHP代碼前面調用該函數。

　　雖然上述代碼相當簡單，沒有根據任何實際值對使用者輸入的使用者名稱和密碼進行有效驗證，但是至少我們瞭解了如何使用PHP在用戶端產生輸入對話方塊。

　　下面，我們就來瞭解一下如何根據指定的驗證資訊核實使用者身份。代碼如下：

if (!isset($PHP_AUTH_USER)) {

header(’WWW-Authenticate: Basic realm="My Private Stuff"’);

header(’HTTP/1.0 401 Unauthorized’);

echo ’Authorization Required.’;

exit;

}

else if (isset($PHP_AUTH_USER)) {

if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) {

header(’WWW-Authenticate: Basic realm="My Private Stuff"’);

header(’HTTP/1.0 401 Unauthorized’);

echo ’Authorization Required.’;

exit;

} else {

echo "

You’re authorized!

";

}

}

?>

　　在這裡，我們首先檢查使用者是否已經輸入了使用者名稱稱和密碼，如果沒有則彈出相應對話方塊要求使用者輸入身份資訊。隨後，我們通過判斷使用者輸入的資訊是否符合admin/123這一指定使用者帳號來授予使用者存取權限或提示使用者再次輸入正確的資訊。這種方法適用於所有使用者都使用同一登入帳號的網站。

6.4 另一種簡易的密碼驗證

　　如果你是在windows98下面編寫和運行著你的PHP指令碼，或者是你在Linux下面按預設設定，將PHP安裝成一個CGI程式的話，你將無法使用上面的PHP程式來實現驗證功能。為此，無邊給大家提供了另外一種簡易的密碼驗證的方法。雖然實用性不大，但是拿來學習還是挺好的。

if($_POST[Submit]=="提交"){ //如果使用者提交了資料，則執行操作
$password=$_POST[password];　　　　//擷取使用者輸入的資料，並儲存在變數 password 中
$cpassword=$_POST[cpassword]; //擷取使用者輸入的確認資料，儲存在變數 $cpassord 中
if(empty($password) || empty($cpassword))
{
die("密碼不可空!");
}
elseif ( ((strlen($password) < 5) || (strlen($password) > 15)))
{
die("密碼長度在5和15之間");
}
//--- 值比較
elseif ( !(strlen($password) == strlen($cpassword)) )
{
die("兩次輸入密碼不匹配! ");
}
elseif( !($password === $cpassword)) //值和資料類型比較
{
　 die("兩次密碼不匹配! ");
}
else //迴圈輸出密碼，因為是密碼所以輸出*號
{
for ($i=0;$i {
echo "*";
}
}
}
?>



表單驗證-密碼欄位驗證

http://www.bkjia.com/PHPjc/444769.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/444769.htmlTechArticlePHP 的 HTTP 認證機制僅在 PHP 以 Apache 模組方式運行時才有效，因此該功能不適用於 CGI 版本。在 Apache 模組的 PHP 指令碼中，可以用 header() 函數...

