PHP网页编程之PHP中对用户身份认证明现两种办法

学习了六个多月PHP了，还是个新手，在这里受到了很多人的帮助，谢谢你们！   当会见者阅读受回护页面时，客户端阅读器会弹出对话窗口请求用户输出用户名和暗码，对用户的身份停止验证，以决意用户是不是有权会见页面。上面用两种办法来讲明其完成道理。
　　1、用HTTP标头来完成
　　标头是办事器以HTTP协定传送HTML信息到阅读器前所送出的字串。HTTP采取一种应战/呼应形式对试图进入受暗码回护区域的用户停止身份验证。详细来讲，当用户初次向WEB办事器收回会见受回护区域的恳求时，应战历程被启动，办事器前往特别的401标头，标明该用户身份未经历证。客户端阅读器在检测到上述呼应以后主动弹出对话框，请求用户输出用户名和暗码。用户完成输出以后点击肯定，其身份辨认信息就被传送到办事端停止验证。假如用户输出的用户名和暗码无效，WEB办事器将答应用户进入受回护区域，而且在全部会见过程当中坚持其身份的无效性。相反，若用户输出的用户称号或暗码没法经由过程验证，客户端阅读器会不休弹出输出窗口请求用户再次测验考试输出准确的信息。全部进程将一向延续到用户输出准确的信息地位，也能够设定答应用户停止测验考试的最大次数，超越时将主动回绝用户的会见恳求。
　　在PHP剧本中，利用函数header()直接给客户真个阅读器发送HTTP标头，如许在客户端将会主动弹出用户名和暗码输出窗口，来完成咱们的身份认证功效。在PHP中，客户端用户输出的信息传送到办事器以后主动保留在 $PHP_AUTH_USER,$PHP_AUTH_PW,和 $PHP_AUTH_TYPE这三个全局变量中。使用这三个变量，咱们可以依据保留在数据文件或数据库顶用户帐号信息来验证用户身份!
不外，需求提示利用者注重的是：只要在以模块体例装置的PHP中才干利用$PHP_AUTH_USER，$PHP_AUTH_PW，和 $PHP_AUTH_TYPE这三个变量。假如用户利用的是CGI形式的PHP则没法完成验证功效。在本节后附有PHP的模块体例装置办法。
　　上面咱们用Mysql数据库来存储用户的身份。咱们需求从数据库中提取每一个帐号的用户名和暗码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量停止对照，判别用户的真实性。
　　起首，在MySql中创立一个寄存用户信息的数据库
　　数据库名为XinXiKu ，表名为user；表界说以下：
复制代码 代码以下:
create table user(
ID INT(4) NOT NULL AUTO_INCREMENT,
name VARCHAR(8) NOT NULL,
password CHAR(8) NOT NULL,
PRIMARY KEY(ID)
)

申明：
　　1、ID为一个序列号，不为零并且主动递增，为主键;
　　2、name为用户名，不克不及为空;
　　3、password为用户暗码，不克不及为空；
　　以下是用户验证文件login.php
复制代码 代码以下:
//判别用户名是不是设置
if(!isset($PHP_AUTH_USER))
{
header("WWW-Authenticate:Basic realm="身份验证功效"");
header("HTTP/1.0 401 Unauthorized");
echo "身份验证掉败，您无权同享收集资本!";
exit();
}
/*毗连数据库*/
$db=mysql_connect("localhost","root","");
//选择数据库
mysql_select_db("XinXiKu",$db);
//查询用户是不是存在
$result=mysql_query("SELECT * FROM user where name='$PHP_AUTH_USER' and password='$PHP_AUTH_PW'",$db);
if ($myrow = mysql_fetch_row($result))
{
//以下为身份验证胜利后的相干操作
...
}
else
{
//身份验证不胜利，提醒用户从头输出
header("WWW-Authenticate:Basic realm="身份验证功效"");
header("HTTP/1.0 401 Unauthorized");
echo "身份验证掉败，您无权同享收集资本!";
exit();
}
?>

法式申明：
在法式中，起首反省变量$PHP_AUTH_USER是不是已设置。假如没有设置，申明需求验证，剧本收回HTTP 401毛病号头标，告知客户真个阅读器需求停止身份验证，由客户真个阅读器弹出一个身份验证窗口，提醒用户输出用户名和暗码，输出完成后，毗连数据库，查询该用用户名及暗码是不是准确，假如准确，答应登录停止相干操作，假如不准确，持续请求用户输出用户名和暗码。
　　函数申明：
　　1、isset（）:用于肯定某个变量是不是已被赋值。依据变量值是不是存在，前往true或false
　　2、header（）:用于发送特定的HTTP标头。注重，利用header（）函数时，必定要在任何发生实践输入的HTML或PHP代码后面挪用该函数。
　　3、mysql_connect():翻开 MySQL 办事器毗连。
　　4、mysql_db_query():送查询字符串 (query) 到 MySQL 数据库。
　　5、mysql_fetch_row（）：前往单列的各字段。
　　2、用session完成办事器验证
　　关于需求身份验证的页面，利用apache办事器验证是最好不外的了。然而，apache办事器验证的界面不敷友爱。并且，cgi形式的php，iis下的php，都不克不及利用apache办事器验证。如许，咱们可以使用session在分歧页面间保留用户身份，到达身份验证的目标。
　　在后端咱们一样使用下面的Mysql数据库寄存用户信息。
　　咱们先编写一个用户登录界面，文件名为login.php，代码职下：
复制代码 代码以下:
<form action="login1.php">
用户名:<input type="text" name="name"><br>
口 令:<input type="text" name="pass"><br>
<input type="submit" value="登录">
</form>

login1.php处置提交的表单，代码以下：
复制代码 代码以下:
$db=mysql_connect("localhost","root","");
mysql_select_db("XinXiKu",$db);
$result=mysql_query("SELECT * FROM user where name='$name' and password='$pass'",$db);
if ($myrow = mysql_fetch_row($result))
{
//注册用户
session_start();
session_register("user");
$user=$myrow["user"];
// 身份验证胜利，停止相干操作
...
}
else
{
echo"身份验证掉败，您无权同享收集资本!";
}
?>

这里需求申明的是，用户可使用在后续的操作顶用**http://domainname/next.php?user=用户名 **来绕过身份验证。所以，后续的操作应先反省变量是不是注册:已注册，则停止响应操作，不然视为不法登录。相干代码以下：
复制代码 代码以下:
session_start();
if (!session_is_registered("user"))
{
echo "身份验证掉败，属于不法登录!";
}
else
{
//胜利登录停止相干操作
...
}
?>

附录：PHP以模块体例装置办法
　　1、起首下载文件:mod_php4-4.0.1-pl2。[假如你的不是PHP4，那末就从速晋级吧!]
　　解开后有三个文件:mod_php4.dll、mod_php4.conf、readme.txt
　　2、相干文件拷贝
　　把mod_php4.dll拷贝到apache装置目次的modules目次上面
　　把mod_php4.conf拷贝到apache装置目次的conf目次上面
　　把msvcrt.dll文件拷贝到apache的装置目次上面
　　3、翻开conf/srm.conf文件 ，在个中加上一句
　　Include conf/mod_php4.conf
　　在做这一些之前请把您的httpd.conf中关于CGI形式的所以设置语句都去失落,即相似上面的局部!
ScripAlias /php4/ "C:/php4/"
AddType application/x-httpd-php4 .php
AddType application/x-httpd-php4 .php3
AddType application/x-httpd-php4 .php4
Action application/x-httpd-php4 /php4/php.exe
要想使PHP撑持更多的后缀名，没成绩。在给出的设置装备摆设文件mod_php4.conf已撑持了三种后缀名php,php3,php4，假如你还想撑持更多的后缀名可以更改这个文件，很复杂的。
　　4、测试
　　用<? phpinfo(); ?> 测试。会看到Server API的值为apache,而不是cgi ，并且还有有关HTTP Headers Information的信息。刚开始写页面程序，调试完书中的例子。然后就可以尝试编写留言板了，

微软最近出的新字体“微软雅黑”，虽然是挺漂亮的，不过firefox  支持的不是很好，所以能少用还是少用的好。