simplePHPLoginSystem下載 - simplePHPLoginSystem原始碼下載

simplePHPLoginSystem

其他類別

1.0.0

下載

只是另一個 PHP 登入系統

請注意，該項目不再積極維護。

這個專案最初是我參加的一些 PHP 課程的一個簡單的學校作業。然後我正在製作的一些網站需要這種系統，並決定開始擴展。警告：這個項目是/將會非常固執己見，這意味著我只會添加我自己認為有用或足夠有趣的功能來開發。

一些基本資訊

對於一般用途來說它應該足夠安全。我不承擔任何責任。
我有一個自動安裝程式。
它使用 PHP 的password_hash()函數對密碼進行雜湊和加鹽處理。使用者名稱儲存為純文字。
- 我正在使用PASSWORD_DEFAULT ，在撰寫本文時它使用 BCRYPT。
它需要 MySQL 資料庫。有關設定資料庫的更多資訊如下。
我正在使用 PDO 介面。您還需要安裝 PDO_MYSQL 驅動程式。
它需要 PHP 7.0 或更高版本。
- 如果您使用 random_compat （或類似）函式庫，您可以使用 PHP 版本一直到 5.5.0。
用戶可以更改他們的用戶名（如果透過配置允許）和密碼。

文件結構

又名“為什麼有這麼多文件？”

/行政

管理面板將在這裡。與許多其他 Web 應用程式（如 WordPress）類似，可以透過輸入[host]/admin輕鬆存取管理面板。

/配置

此資料夾包含兩個用於設定一些配置選項的檔案。更多資訊如下。

/CSS

只是 UI 的一些 CSS 好東西。

/安裝

自動安裝程式位於此處。

/js

此資料夾包含使用者介面工作所需的所有 .js 檔案。

/utils

該資料夾包含系統的主幹。它具有用於連接資料庫、登入和登出、註冊/建立新帳戶以及修改現有帳戶的 .php 檔案。還有scripts.js，它為使用者介面提供了一些通用的JavaScript 功能。您需要將資料庫資訊插入credentials.php中，請檢查下面的設定部分以取得協助。

執照

在使用它之前您應該閱讀本文。這只是一個普通的麻省理工學院許可證。

自述文件.md

這個文件。

帳戶.php

這是帳戶管理頁面。用戶可以在這裡更改他們的用戶名和密碼。

索引.php

該文件僅用於演示。使用者只有登入後才能存取此頁面。

登入.php

我對使用 Bootstrap 建立簡單登入表單的看法。請隨意修改它以滿足您的需求。

註冊.php

我對使用 Bootstrap 建立簡單的註冊表單的看法。請隨意修改它以滿足您的需求。

刪除安裝.php

自動安裝程式使用它在安裝完成後將其刪除。

單字表.txt

這是最常見的英語單字的列表。它由用戶名建議者使用。您可以用您自己的 .txt 檔案替換該清單。清單中的每個單字後面都需要換行。

配置選項

請注意，配置選項可能會變更。經常回來查看。

如果您檢查 /config 資料夾，您會發現那裡有兩個不同的檔案。什麼給？主要設定檔是config.php 。它包括在伺服器層級強制執行的設定。您應該主要編輯此文件。

如果您也在使用我提供的前端使用者介面，那麼您可以/也必須編輯config.js ，您可以在其中管理一般使用者的外觀。請記住，這些設定僅適用於客戶端，不會以任何方式強制執行，因此使用者可以對其進行編輯。

config.php 中的設定選項

選項名稱	描述	預設值	支援的值
$disableUserSelfRegistration	阻止用戶註冊	錯誤的	布林值
$使用者名稱最小長度	允許的最短用戶名	3	1->
$使用者名稱最大長度	允許的最長用戶名	30	1->
$passwordMinLength	密碼的最小長度	8	1->
$使用者名稱RegExp	所有使用者名稱必須符合此正規表示式		任何正規表示式
$passwordRegExp	所有密碼必須與此正規表示式匹配		任何正規表示式
$newAccountAccessLevel	對於建立您的第一個管理員帳戶很有用	“用戶”	“使用者”、“管理員”
$調試模式	允許您停用資料庫連線（僅用於調試）	“不”	“不”
$debugAdmin用戶名	允許您在調試模式下登錄	“行政”	任何字串
$debugAdmin密碼	允許您在調試模式下登錄	””	任何字串
$debugSkipInstall	這僅用於調試目的	錯誤的	錯誤的
$超時	註銷使用者所需的不活動時間（以秒為單位）	900	任意整數
$adminPanel超時	從管理面板中註銷使用者所需的不活動時間	450	任意整數
$errorMessages	顯示更詳細的錯誤訊息。	預設	“預設”、“詳細”
$allow使用者名稱更改	用戶是否可以更改他們的用戶名	真的	布林值
$forceHTTPS	將所有非 HTTPS 連線重新導向到 HTTPS 並傳送 HSTS	錯誤的	布林值

關於 $forceHTTPS

2019 年，在處理任何類型的敏感資訊（如密碼）時不使用 HTTPS 被認為是一個巨大的安全風險。這就是為什麼強烈建議僅使用支援它的託管解決方案並將此選項更改為 true。如今，您甚至可以從 Let's Encrypt 完全免費獲得 SSL 證書，因此沒有理由不使用它。然而，在某些（配置錯誤的）環境中，即使實際上使用了 HTTPS，也未定義 SERVER["HTTPS"] 超級全域。這會導致重定向的無限循環。我自己也是經歷了慘痛的教訓才知道這一點的。

config.js 中的設定選項

選項名稱	描述	預設值	支援的值
停用用戶自行註冊	停用與註冊相關的任何 UI 元素	錯誤的	真，假
使用者名稱最小長度	UI 接受的最短用戶名	3	1->
使用者名稱最大長度	UI 接受的最長用戶名	30	1->
密碼最小長度	UI 接受的最短密碼	8	1->
使用者名稱規則	如果使用者名稱與 regExp 不匹配，則顯示此字串		任何字串
密碼規則	如果密碼與 regExp 不匹配，則顯示此字串		任何字串
啟用使用者名稱建議	允許您停用或啟用使用者名稱建議	真的	布林值
允許使用者名稱更改	用戶是否可以更改他們的用戶名（僅限 UI）	真的	布林值
啟用登入訊息	在登入頁面上顯示任何訊息	錯誤的	布林值
登入留言	定義當enableLoginMessage為true時顯示的訊息	””	任何字串

設定

如前所述，您需要一個 MySQL 資料庫。這個資料庫不需要太多空間（除非您有很多用戶）並且任何相當新的 MySQl 版本都應該可以工作。您可以手動設定資料庫並建立管理員帳戶，也可以使用我的自動安裝程式。

使用自動安裝程式

擁有一個您可以存取的 MySQL 資料庫。
導航（使用瀏覽器）到文件結構的根目錄。您將被重新導向到安裝精靈。
- 您也可以直接導覽至/install/ 。
請按照螢幕上的指示進行操作。

在安裝的第一步中，安裝程式需要將檔案寫入主機的磁碟機。如果您沒有適當的權限，則必須手動進行安裝。請參閱下面的說明。

手動設定資料庫

擁有一個您可以存取的 MySQL 資料庫。
建立具有五個欄位的表users ： username 、 password 、 accessLevel 、 lastLogin和rememberMeToken 。使用 CHAR 等字串資料型別。我個人喜歡使用VARCHAR。對於lastLogin我推薦 INT(11)。我還會添加一個自動遞增 id 欄位作為主鍵，但這不是嚴格要求的。
將您的資料庫主機名稱、連接埠、名稱和憑證插入/utils/credentials.php 。我建議使用權限受限的專用帳戶。

欄位長度

如果您使用 VARCHAR 或其他具有不同最大字串長度的資料類型，則下表將很有用。

場地	所需長度（最小）
使用者名稱	與 config.php 中的 $usernameMaxLength 相同
密碼	為了安全起見，我建議使用 255（因為 PHP 的預設加密方法可能會改變）
訪問級別	5
最後登入	11
記住我的令牌	255

不知道你的 SQL？

別擔心，類似這樣的事情應該可以滿足您的需求：

 CREATE TABLE IF NOT EXISTS users (
 id INT NOT NULL PRIMARY KEY AUTO_INCREMENT,
 username VARCHAR ( 64 ) NOT NULL UNIQUE,
 password VARCHAR ( 255 ) NOT NULL ,
 accessLevel VARCHAR ( 10 ) NOT NULL ,
 lastLogin INT ( 11 ),
 rememberMeToken VARCHAR ( 255 )
);

建立第一個管理員帳戶

設定資料庫後，您需要建立第一個管理員帳戶。有兩種方法可以做到這一點：

導覽至/install/createAdmin.php 。這將使用使用者名稱admin和隨機產生的密碼來建立一個具有管理員權限的新帳戶。（如果您遵循上面的 SQL 範例並將 UNIQUE 約束設定為使用者名字段，那麼如果該帳戶已存在，則不會建立該帳戶。您不會收到錯誤訊息）建立管理員帳戶後，您必須刪除（或重新命名）/install 資料夾。最後，登入新建立的帳戶並使用帳戶管理頁面變更密碼。

或者

如果createAdmin.php由於某種原因不起作用，您也可以暫時將config/config.php中的$newAccountAccessLevel更改為“admin”，然後使用正常的註冊表單建立新帳戶。您需要刪除 /install 資料夾才能存取登入頁面。請記住隨後將值變更回“user”。

重要的！我再次提醒您，在實際生產環境中使用它之前，您必須刪除 /install 資料夾。否則任何人都可以看到您的資料庫憑證！

設定後，您可以使用管理面板建立新帳戶（管理員或普通帳戶）。

設定常見問題解答

“您的 random_bytes 函數無法正常工作”

這意味著安裝程式註意到函數random_bytes(int)不存在或無法正常運作。如果您使用的 PHP 版本早於 7.0，則必須使用實作該功能的第 3 方函式庫。對於 PHP 5.x，我推薦這個。

我不知道我的資料庫使用什麼連接埠。

MySQL 預設為 3306。

安裝精靈完成後從頭開始。

當嚮導無法自行刪除時，就會發生這種情況。這通常是由主機上的某些限制性權限引起的。透過手動刪除 /install 資料夾來修復問題。

我的資料庫連接不起作用。

請參閱下面一般常見問題中的故障排除提示。

管理面板

管理面板正處於開發的早期階段。很多東西可能會被破壞。

管理面板允許管理員...

查看所有使用者帳戶、其存取等級和上次登入時間
修改使用者的存取等級並重設其上次登入時間
建立新帳戶
刪除用戶帳戶

未來還會增加更多內容。

我如何訪問它？

/行政

一般常見問題解答

如何開啟調試模式？

更仔細地閱讀 config.php。

我在嘗試連接到我的資料庫時收到“發生連接錯誤”訊息或自動安裝程式拋出錯誤。

這意味著嘗試連接資料庫時發生了PDOException 。您可以在/config/config.php中開啟更詳細的錯誤訊息。最常見的原因是：

資料庫主機名稱、連接埠、名稱或憑證錯誤。
仔細檢查它們。
資料庫已關閉。
您可以使用 phpMyAdmin 或類似工具存取您的資料庫嗎？
PHP 的 PDO 介面或PDO_MYSQL驅動程式不可用或設定不正確。
如果可能，請嘗試更新至最新版本的 PHP。確保您或您的主機啟用PDO_MYSQL 。
您的主機的防火牆阻止了連線。
確保您或您的主機的防火牆沒有阻止連線。請注意，某些主機不允許 MySQL 連接到其基礎架構之外。
還有別的事。
請在 GitHub i 上開啟問題，我會嘗試解決這個問題。

登入頁面上的「記住我」選項是否有效？

~~不，事實並非如此，而且這種情況已經持續太久了，我知道。我打算很快就去實現它™。~~更新：現在正在運行。請注意，它只記住登入資訊 30 天（出於安全原因）。

「記住我」選項不是一個巨大的安全風險嗎？

是的，我知道實施類似的措施總是會帶來新的安全漏洞。但是，我不會強迫用戶使用它或任何東西。如果使用者未選取該複選框，則不會建立存取令牌，因此該使用者不存在安全風險。

這就是「記住我」選項的工作原理：

使用者使用使用者名稱和密碼登錄，然後選取核取方塊。
使用加密安全的random_bytes()函數為該使用者建立新令牌。該令牌將保存到資料庫中，並將兩個 cookie 傳送到瀏覽器。第一個 cookie 的值是純文字形式的使用者使用者名稱。第二個 cookie 更為重要。它的價值是創建的令牌。
擁有這兩個 cookie 的使用者將到達登入頁面。如果使用者 cookie 中的令牌與資料庫中的令牌匹配，則使用者將自動登入。
如果使用者手動登出或超過 30 天，則令牌失效。