Блокировка пользователя после 3 неправильных вводов пароля

@qwertasdfgzxcvb · Регистрация: 11.11.2014

Студворк — интернет-сервис помощи студентам

К примеру пользователь вводит логин или пароль неверно 3 раза его должно блокировать на 1 час.
Как это сделать ? просто только учусь (
Вот пример кода который уже накалякал

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
<?php
 /**
........
 */
 
 //Виход из авторизации
 if(isset($_GET['exit']) == true){
    //убиваем сесию
    session_destroy();
 
    // редірект
    header('Location:'. BEZ_HOST);
    exit;
 }
 
 
//...
 if(isset($_POST['submit']))
 {
    //Провіряємо на пустоту
    if(empty($_POST['lk']))
        $err[] = 'не ввели логин';
    
    if(empty($_POST['pass']))
        $err[] = 'не ввели пароль';
    
    //Проверка email
    /*if(emailValid($_POST['email']) === false)
        $err[] = 'Не коректний E-mail';*/
 
     //Проверка на ошибки
    if(count($err) > 0)
        echo showErrorMessage($err);
    else
    {
        /*Запрос на выборку из БД
        для проверки подлинности пользователя*/
        $sql = 'SELECT * FROM `'. BEZ_DBPREFIX .'site` AS `u`
                LEFT JOIN `'. BEZ_DBPREFIX .'role` AS `r` ON `u`.`role` = `r`.`id_role`
                WHERE `VPTR` = :lk';
            // PDO значенния для SQL запроса
        $stmt = $db->prepare($sql);
        $stmt->bindValue(':lk', $_POST['lk'], PDO::PARAM_STR);
        $stmt->execute();
 
        //Даные SQL
        $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
        
 
        //Если логин существует проверяем пароль
        if(count($rows) > 0)
        {
 
            //Даные из таблиц
            if($_POST['pass'] == $rows[0]['KOL_LG1'])
            {   
 
                //Переменная для работы с пользователем уже существующимся
 
                $_SESSION['user']   = true;
                $_SESSION['lk']     = $_POST['lk'];
                $_SESSION['role']   = $rows[0]['role'];
                $_SESSION['name']   = $rows[0]['FAMILY'];
                
 
                //Сбрасиваем параметры
                header('Location:'. BEZ_HOST .'?mode=1' );
                exit;
            }
            else
                echo showErrorMessage('Неверный логин');
        }else{
            echo showErrorMessage('Логин <b>'. $_POST['email'] .'</b> Нету такого логина!');
        }
    }
 }
 
?>

@Jodah · 27.01.2016, 10:26

Создаёте 2 колонки, например wrong_num и unblock_time. В первой храните количество неправильных попыток, во второй - время разблокировки.

Когда юзер пытается залогиниться - проверяете его время разблокировки, и если оно больше текущего - не пускаете.

Когда юзер вводит неправильный пароль, записываете +1 в БД и смотрите, сколько всего было сделано попыток. Если 3 - обнуляете и записываете время разблокировки текущее+час.

@qwertasdfgzxcvb · 27.01.2016, 10:32 **[ТС]**

Получается до уже существующей БД допилить 2 таблицы?

@Jodah · 27.01.2016, 10:53

qwertasdfgzxcvb, 2 таблицы? 0_о

Я привёл пример, можете использовать его как угодно.

@Mashka_mulashka · 27.01.2016, 10:58

Сообщение от qwertasdfgzxcvb

Получается до уже существующей БД допилить 2 таблицы?

не обязательно, лучше использовать сессии. или куки на крайний случай, но куки почистить можно

@qwertasdfgzxcvb · 27.01.2016, 10:59 **[ТС]**

Вот по поводу этого я и хотел услышать совет или что почитать чтобы разобраться.

@monahoff · 27.01.2016, 11:03

Зачем еще таблицы?? Просто добавьте в текущую еще 2 поля, как предложил Jodah, а при попытке логиниться пишите в это поле число попыток.
Но ошибиться можно не только в пароле, но и логине, поэтому сама система таких блокировок может получиться довольно сложной, для новичка!

@qwertasdfgzxcvb · 27.01.2016, 11:23 **[ТС]**

Дописать 2 поля не выйдет так как данная таблица апдейтится из локального сервера раз в сутки а на локальном сервере нет смысла добавлять 2 поля

@useruser · 27.01.2016, 13:37

Сообщение от Mashka_mulashka

не обязательно, лучше использовать сессии.

Не лучше, а проще.
Такой способ защиты от подбора, основанный на сессиях, очень приятен хакеру.
PHPSESSID? А не будет у вас никакой PHPSESSID (веселый молочник)...при взломе сторонними программами, передачей пакетов, да даже при простейшем прокси.

Приблизительно так. Код может (и должен) быть модифицирован

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
//session_start(); //Есть уже наверно...
$current_time=time(); //Не будем вызывать ф-цию много раз.
 
//Нет таких идентификаторов - получите
if (!isset($_SESSION['user_blocked_time'])) $_SESSION['user_blocked_time']=0;
if (!isset($_SESSION['try'])) $_SESSION['try']=0;
 
//Есть что? А если найду?
if (isset($_SESSION['user_blocked_time']))
{
if ($_SESSION['user_blocked_time']>$current_time) {Echo 'Вы заблокированы.'; exit;}
if ($_SESSION['user_blocked_time']<$current_time) $_SESSION['user_blocked_time']=0; //unset($_SESSION['user_blocked_time']);
}
 
 
//Проверим логин и пароль
if (тут условие что логин/пароль не верен)
{
if ($_SESSION['try']>=3) {Echo 'Вы заблокированы.'; exit;}
if ($_SESSION['try']<3) 
{
$_SESSION['try']++;
if ($_SESSION['try']>=3) {$_SESSION['user_blocked_time']=$current_time+3600; Echo 'Вы заблокированы.'; exit;} //Шо уже 3 раза? 
}
}

@qwertasdfgzxcvb · 27.01.2016, 15:29 **[ТС]**

Да но блокировка сессии не сработает потому что сессия умирает после закрытия браузера(((

@lokilo · 27.01.2016, 18:48

qwertasdfgzxcvb, ой зря, такой сайт залочится сможет в течении ночи, простым перебором логинов

@qwertasdfgzxcvb · 27.01.2016, 20:02 **[ТС]**

так как правильно поступить ?

@lokilo · 28.01.2016, 01:06

qwertasdfgzxcvb, не делать блокировку вот и все

Добавлено через 1 минуту
либо предусмотреть восстановление пароля через почту

@qwertasdfgzxcvb · 28.01.2016, 11:27 **[ТС]**

Пункта регистрации у меня нету. Все пользователи уже зарегистрированные и пароли у них не могут изменятся.
Чтобы любые данные изменить им нужно обратится к нам в офис, потому и восстановление не будет.
А банально если кто захочет попробовать и вдруг угадать вот для такого мне это и нужно)))
походу придется делать таблицу(

@Jodah · 28.01.2016, 11:51

Сообщение от qwertasdfgzxcvb

а на локальном сервере нет смысла добавлять 2 поля

Не понял, почему нет смысла?

Сообщение от qwertasdfgzxcvb

походу придется делать таблицу(

А создавать новую таблицу значит есть смысл?

@qwertasdfgzxcvb · 28.01.2016, 12:04 **[ТС]**

Просто на локалке БД в 986 таблиц ну и нарушать принцип работы не хочется, темболия бд там в фаербьорде а там стоят определенные зависимости(

@lokilo · 28.01.2016, 12:28

qwertasdfgzxcvb, еще раз говорю если кто то прочухает это дело, то перебором паролей можно заблокировать всех пользователей? и делать это постоянно? пока у кого нибудь не бомбонет и у него вырастут руки на плечах и он сделает намного лучше

@useruser · 28.01.2016, 13:14

Сообщение от qwertasdfgzxcvb

Да но блокировка сессии не сработает потому что сессия умирает после закрытия браузера(((

Сессия умирает, в базу вы писать не хотите, куки разумеется не вариант.

И есть мнение

Сообщение от lokilo

qwertasdfgzxcvb, еще раз говорю если кто то прочухает это дело, то перебором паролей можно заблокировать всех пользователей?

Значит придется делать по топорному. Ужас конечно, но другого варианта нет...
Создавать на сервере папку, в которой будут лежать файлы отвечающие за блокировку.
Принцип приблизительно такой
ошибся раз - создали txt файл в папке. Имя файла=логин юзера. Содержимое файла=кол-во попыток входа, время блокировки и ip.
При следующем входе узнаем ip и ищем файл с этим ip. Смотрим как там со временем блокировки, попытками входа. Изменяем если нужно.
Вообщем все из сессий перенести в файлы.

@qwertasdfgzxcvb · 28.01.2016, 16:04 **[ТС]**

вот как ето сделать я точно не знаю(( ну и мне кажется будет нагрузка на серверную часть очень большая по созданию файла и тд.....

@Jodah · 28.01.2016, 16:15

Зачем файлы? Можно и в БД эту информацию хранить.

А изначально задача какая? Просто блок юзеров - не совсем удобно. Может капчу повесить?

Новые блоги и статьи Все статьи Все блоги /
http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит переходные токи и напряжения на элементах схемы. . . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,909
	27.01.2016, 10:26
	Создаёте 2 колонки, например wrong_num и unblock_time. В первой храните количество неправильных попыток, во второй - время разблокировки. Когда юзер пытается залогиниться - проверяете его время разблокировки, и если оно больше текущего - не пускаете. Когда юзер вводит неправильный пароль, записываете +1 в БД и смотрите, сколько всего было сделано попыток. Если 3 - обнуляете и записываете время разблокировки текущее+час. 2

@qwertasdfgzxcvb 0 / 0 / 0 Регистрация: 11.11.2014 Сообщений: 59
	27.01.2016, 10:32 [ТС]
	Получается до уже существующей БД допилить 2 таблицы? 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,909
	27.01.2016, 10:53
	qwertasdfgzxcvb, 2 таблицы? 0_о Я привёл пример, можете использовать его как угодно. 0

@qwertasdfgzxcvb 0 / 0 / 0 Регистрация: 11.11.2014 Сообщений: 59
	27.01.2016, 10:59 [ТС]
	Вот по поводу этого я и хотел услышать совет или что почитать чтобы разобраться. 0

@monahoff 40 / 40 / 23 Регистрация: 26.01.2012 Сообщений: 317
	27.01.2016, 11:03
	Зачем еще таблицы?? Просто добавьте в текущую еще 2 поля, как предложил Jodah, а при попытке логиниться пишите в это поле число попыток. Но ошибиться можно не только в пароле, но и логине, поэтому сама система таких блокировок может получиться довольно сложной, для новичка! 1

@qwertasdfgzxcvb 0 / 0 / 0 Регистрация: 11.11.2014 Сообщений: 59
	27.01.2016, 11:23 [ТС]
	Дописать 2 поля не выйдет так как данная таблица апдейтится из локального сервера раз в сутки а на локальном сервере нет смысла добавлять 2 поля 0

@qwertasdfgzxcvb 0 / 0 / 0 Регистрация: 11.11.2014 Сообщений: 59
	27.01.2016, 15:29 [ТС]
	Да но блокировка сессии не сработает потому что сессия умирает после закрытия браузера((( 0

@lokilo 117 / 118 / 52 Регистрация: 19.12.2014 Сообщений: 612
	27.01.2016, 18:48
	qwertasdfgzxcvb, ой зря, такой сайт залочится сможет в течении ночи, простым перебором логинов 1

@qwertasdfgzxcvb 0 / 0 / 0 Регистрация: 11.11.2014 Сообщений: 59
	27.01.2016, 20:02 [ТС]
	так как правильно поступить ? 0

@lokilo 117 / 118 / 52 Регистрация: 19.12.2014 Сообщений: 612
	28.01.2016, 01:06
	qwertasdfgzxcvb, не делать блокировку вот и все Добавлено через 1 минуту либо предусмотреть восстановление пароля через почту 1

@qwertasdfgzxcvb 0 / 0 / 0 Регистрация: 11.11.2014 Сообщений: 59
	28.01.2016, 11:27 [ТС]
	Пункта регистрации у меня нету. Все пользователи уже зарегистрированные и пароли у них не могут изменятся. Чтобы любые данные изменить им нужно обратится к нам в офис, потому и восстановление не будет. А банально если кто захочет попробовать и вдруг угадать вот для такого мне это и нужно))) походу придется делать таблицу( 0

@qwertasdfgzxcvb 0 / 0 / 0 Регистрация: 11.11.2014 Сообщений: 59
	28.01.2016, 12:04 [ТС]
	Просто на локалке БД в 986 таблиц ну и нарушать принцип работы не хочется, темболия бд там в фаербьорде а там стоят определенные зависимости( 0

@lokilo 117 / 118 / 52 Регистрация: 19.12.2014 Сообщений: 612
	28.01.2016, 12:28
	qwertasdfgzxcvb, еще раз говорю если кто то прочухает это дело, то перебором паролей можно заблокировать всех пользователей? и делать это постоянно? пока у кого нибудь не бомбонет и у него вырастут руки на плечах и он сделает намного лучше 1

@qwertasdfgzxcvb 0 / 0 / 0 Регистрация: 11.11.2014 Сообщений: 59
	28.01.2016, 16:04 [ТС]
	вот как ето сделать я точно не знаю(( ну и мне кажется будет нагрузка на серверную часть очень большая по созданию файла и тд..... 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,909
	28.01.2016, 16:15
	Зачем файлы? Можно и в БД эту информацию хранить. А изначально задача какая? Просто блок юзеров - не совсем удобно. Может капчу повесить? 1