首页 / PHP / php-简单的PDO暴力查询不起作用
php-简单的PDO暴力查询不起作用
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了php-简单的PDO暴力查询不起作用,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1848字,纯文字阅读大概需要3分钟。
内容图文
![php-简单的PDO暴力查询不起作用](/upload/InfoBanner/zyjiaocheng/682/a59eb263b87d46e09bb4e0d43f6f5f73.jpg)
我正在尝试检查用户已提交的尝试登录.由于某种原因,它甚至跳过了困难的工作,我的数据库中有7个条目,其中1个达到了尝试,并且具有相似的IP和user_id.
这是我的查询,可以找到here的完整代码.
// BRUTE FORCE CHECK
$remote_ip = $_SERVER['REMOTE_ADDR'];
$sql = "
SELECT attempt_nr
FROM users_login_attempts
WHERE user_id = :userid
AND time > NOW() - INTERVAL 1 HOUR
AND user_ip = :userip
";
$results = $db_connect->prepare($sql);
if ($results->execute(array(':userid' => $user_id,':userip' => $remote_ip))){
$count_tries = $results->rowCount();
if ($count_tries < 5) {
// DO SOMETHING IF LIMIT IS NOT REACHED
}
else {
// RETURN FAILURE
}
用户如何跳过这一部分?
图片:
表结构
表
我的密码
VAR_DUMP结果
解决方法:
从phpdoc开始:
PDOStatement::rowCount() returns the number of rows affected by the last DELETE, INSERT, or UPDATE statement executed by the corresponding PDOStatement object.
If the last SQL statement executed by the associated PDOStatement was a SELECT statement, some databases may return the number of rows returned by that statement. However, this behaviour is not guaranteed for all databases and should not be relied on for portable applications.
请注意不要将rowCount用于选择查询的建议.相反,我会像这样更改您的代码:
$sql = "
SELECT count(*) AS attempt_nr
FROM users_login_attempts
WHERE user_id = :userid
AND time > DATE_ADD(NOW(), INTERVAL -1 HOUR)
AND user_ip = :userip
";
$results = $db_connect->prepare($sql);
if ($results->execute(array(':userid' => $user_id,':userip' => $remote_ip))) {
$row = $results->fetch(PDO::FETCH_ASSOC);
$count_tries = $row['attempt_nr'];
if ($count_tries < 5) {
// DO SOMETHING IF LIMIT IS NOT REACHED
}
else {
// RETURN FAILURE
}
}
另外,请注意,在代码正常运行的情况下,即使用户成功登录两次,您也可以在5次尝试登录失败后有效地将您的用户锁定,因此,您还需要确保清除登录失败的历史记录登录或使您的SQL更复杂,以解决此问题.
内容总结
以上是互联网集市为您收集整理的php-简单的PDO暴力查询不起作用全部内容,希望文章能够帮你解决php-简单的PDO暴力查询不起作用所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。