文件的加密程序在站點上已經應用的很廣泛了,這意味著要使用一個數據庫來存儲口令和用戶名。具體如下:
一、 簡介
盡管在一般情況下,你的網站往往相當簡單以至它根本不要求使用數據庫;但是在有些情況下,你的站點可能想限制對某些頁面的存取。一般地,這意味著要使用一個數據庫來存儲口令和用戶名。然而,你還有一個更容易的方法-盡管其安全性差了一點,但是它僅包含了極少的編碼。
如果你在自己的Web應用程序中使用了數據庫,那麼你已經能夠在某處存儲口令和用戶名,並且有一種方法可用來認證訪問者。但是,當因你的站點的安全性或復雜性需要而無法保證使用數據庫時,那該怎麼辦?可能有些時候你僅想要一些特別的人存取你的站點的某些頁面或一些區域。為此,一種很簡單的方式就是使用一個存儲口令的文本文件,並且創建一個頁面來提示訪問者輸入口令;如果口令與存儲在該文本文件中的內容相匹配,那麼允許該用戶存取受限的頁面;否則,在開始刷新頁面之前顯示一條適當的消息以禁止其存取。
為了進一步的安全起見,你還可以用哈希法來加密存儲在文本文件中的口令,這樣如果它的內容在某種程度上被發現,它還將會是很難被查明。所有這些都可以用PHP方法來構建,而且只需極少量的編碼。
在正式開始前,你需要建立一個環境來測試和使用PHP;所以,你首先需要為PHP安裝和配置一個Web服務器。由於Apache與PHP協同工作良好,並且易於安裝和配置,因此我推薦使用這一方案。
接下來,你需要創建一個頁面(類似下圖)-它有一個文本框用於接收來自訪問者的口令,還有一個submit按鈕來把它發送到你的PHP文件。這既可以是一個新頁面也可以是你的網站上的一個現有頁面的一部分。象下面簡單的代碼塊應該足夠了:
<form name="passwordForm" method="post" action="restricted.php"> <p>Password: <input type="password" name="password"> <input type="submit" name="Submit" value="Login"> </p> </form>
二、 創建PHP主頁
接下來,你需要創建完成實際工作的PHP主頁。在一個文本編輯器中打開一個空白頁面,然後以標准方式打開一個PHP塊:
如我以前所提及的,PHP具有一套標准的函數和方法用來實現文件操作。其中,最為主要的幾個是fopen(),fread()和fclose()函數。為了進行某種文件操作,我們需要先打開它,並且很明顯,這是使用fopen()函數實現的;而且,我們必須指定如何操作文件;讀文件,讀文件是最普通的任務,但是另外一些額外標志可以用來告訴程序是把文件指針放在開始還是文件的結束,以及如果文件還不存在的話是否創建該文件。然而,在本例中,我們所需要做的是,打開包含口令字的文本文件並讀取它。
然後,首先創建一個到指定文本文件路徑的變量:
$fileloc = "/apachesite/docs/pass.txt"
接下來,創建一個變量來存放文件指針:
$filetoread = fopen($fileloc, "r") or die("Could not open password file");
你也可以使用die方法來結束該腳本,並且如果操作因某種原因失敗的話將在屏幕上打印一條適當的消息。一旦打開文件,你需要讀取它的內容,以便把它與以口令字形式輸入的內容進行比較:
$storedpass = fread($filetoread, filesize($fileloc)) or die ("Could not read stored password");
你應該設置一個變量來存放文件中的數據,並且調用fread()方法(它有兩個參數:文件指針和文件長度)。你可能知道(也可能不知道)你的口令的長度。為了使將來的編程容易些(當口令字需要改變時),你可以使用filesize()方法來得到文件長度。一旦文件不再需要,立即關閉之:
fclose($filetoread);
三、 使用口令
為了使用輸入到HTML表單中的口令,你需要得到它並把它存儲到一個變量中。當我們使用POST方法來把用戶輸入的內容發送到PHP腳本時,我們可以使用$_POST來取得輸入的口令:
$password = $_POST["password"];
然後,我們可以簡單地把輸入的口令字與存儲的口令字進行比較並采取相應的措施:
if (empty ($password)){
die ("No password entered");
}
elseif ($password != $storedpass){
die ("Password Incorrect");
}
else{
Header("Location: securepage.htm")
}
第一個if語句處理一個空的$password變量以防止當輸入框為空時,submit按鈕被點擊。如果用戶輸入的口令與存儲的那個不匹配,那麼第二個語句執行括號內的代碼並且輸出一條消息顯示口令是錯誤的。最後,如果前兩個條件都不滿足,那麼,該腳本認為口令一定是正確的並且把一個重定向頭(header)發送到浏覽器以打開示例中的HTML頁面。
在此能夠工作之前,你需要創建一個文本文件並且把它放到與該PHP文件相同的目錄下。它需要包含你目前想要使用的以普通文本形式存儲的口令,並且應該引用該PHP文件名。保存所有這些文件,然後在一個浏覽器中打開該HTML頁面,並用該表單進行試驗。該頁面應該如所設想的那樣工作。
當你輸入正確的口令時,如果你得到一個錯誤消息,其內容是:
"Warning: Cannot modify header information - headers already sent by (thepathtoyourphpfile)"
這意味著,你需要把位於你的Windows目錄下的php.ini文件中的output-buffering設置為"on"。
四、 加密
現在,我們開始分析在前面提到的加密問題。PHP具有一些內置的MD5方法。這樣以來,在把訪問者輸入的口令與存儲的口令進行比較之前,我們可以很容易地使用這些函數來轉換它。
MD5是一種單向哈希算法,這意味著口令可以僅用一種方向進行加密-從普通文本到加密文本,而以另外一種方向是不可能的。然而,這並不是就能使得它不可破解。這種加密容易被以暴力方式或者通過字典攻擊加以破解,但是它仍然還是比較安全的。你可以把下列一行添加到$password變量的聲明語句之後:
$md5password = (md5($password));
這樣可以把一個輸入到該文本框中的內容的加密版本保存到變量$md5password中。現在,你需要修改你的if語句,以便它把存儲的口令與新的加密的口令加以比較:
if (empty ($password))
{
die ("No password entered");
}
elseif ($md5password != $storedpass)
{
die ("Password Incorrect");
}
else
{
header("Location: securepage.htm");
}
如你所見,我們僅改變了語句的elseif部分中的變量。這是因為即使是一個空的輸入變量也被哈希化為一個32位值,因此$md5variable永遠不可能為空,-即使在把任何文本輸入到輸入域之前點擊submit按鈕。
現在,所有你需要做的就是,找到你想存儲在文本文件pass.txt中的該口令的哈希值。為此,你可以注釋掉整個的if語句並且再加上一個echo語句以把加密的口令顯示在屏幕上。然後,你還可以復制加密串並且把它保存到口令文件中。然而,你必須記住,在使用該腳本之前,取消注釋if語句並且刪除echo調用。
就本文所討論的方法而言,上面的腳本框架所提供的已經足夠了。另外,本文所討論的測試文件,盡管非常基本,但是該HTML頁面能夠被容易地加入到一個現有的頁面中去;你可以把它粘貼到一個窗口中去並整理它的樣式以匹配你的主頁的其余部分,並且你可能包含一個定時函數-它在把訪問者重新定向到一個安全的頁面前等待一段固定的時間,同時顯示一條消息指示口令正確。你還可以包含一個類似的函數集來重載初始頁面。
總之,你可以使用本文所提供的腳本來限制到你的站點結構中的特定頁面的存取。盡管該方法並沒有提供一個數據庫所提供的安全的用戶名/口令認證方法,並且它意味著你必須把口令發給想存取安全頁面的任何人,但是它的確耗費非常少的時間和編碼提供了一種簡單的安全層。
感謝閱讀,希望能幫助到大家,謝謝大家對本站的支持!
