PHP邮箱验证示例教程
在用户注册中最常见的安全验证之一就是邮箱验证。根据行业的一般做法,进行邮箱验证是避免潜在的安全隐患一种非常重要的做法,现在就让我们来讨论一下这些最佳实践,来看看如何在PHP中创建一个邮箱验证。
让我们先从一个注册表单开始:
<formmethod="post"action="http://mydomain.com/registration/"> <fieldsetclass="form-group"> <labelfor="fname">FirstName:</label> <inputtype="text"name="fname"class="form-control"required/> </fieldset> <fieldsetclass="form-group"> <labelfor="lname">LastName:</label> <inputtype="text"name="lname"class="form-control"required/> </fieldset> <fieldsetclass="form-group"> <labelfor="email">Lastname:</label> <inputtype="email"name="email"class="form-control"required/> </fieldset> <fieldsetclass="form-group"> <labelfor="password">Password:</label> <inputtype="password"name="password"class="form-control"required/> </fieldset> <fieldsetclass="form-group"> <labelfor="cpassword">ConfirmPassword:</label> <inputtype="password"name="cpassword"class="form-control"required/> </fieldset> <fieldset> <buttontype="submit"class="btn">Register</button> </fieldset> </form>
接下来是数据库的表结构:
CREATETABLEIFNOTEXISTS`user`( `id`INT(10)NOTNULLAUTO_INCREMENTPRIMARYKEY, `fname`VARCHAR(255), `lname`VARCHAR(255), `email`VARCHAR(50), `password`VARCHAR(50), `is_active`INT(1)DEFAULT'0', `verify_token`VARCHAR(255), `created_at`TIMESTAMP, `updated_at`TIMESTAMP, );
一旦这个表单被提交了,我们就需要验证用户的输入并且创建一个新用户:
//Validationrules
$rules=array(
'fname'=>'required|max:255',
'lname'=>'required|max:255',
'email'=>'required',
'password'=>'required|min:6|max:20',
'cpassword'=>'same:password'
);
$validator=Validator::make(Input::all(),$rules);
//Ifinputnotvalid,gobacktoregistrationpage
if($validator->fails()){
returnRedirect::to('registration')->with('error',$validator->messages()->first())->withInput();
}
$user=newUser();
$user->fname=Input::get('fname');
$user->lname=Input::get('lname');
$user->password=Input::get('password');
//Youwillgeneratetheverificationcodehereandsaveittothedatabase
//Saveusertothedatabase
if(!$user->save()){
//Ifunabletowritetodatabaseforanyreason,showtheerror
returnRedirect::to('registration')->with('error','Unabletowritetodatabaseatthistime.Pleasetryagainlater.')->withInput();
}
//Useriscreatedandsavedtodatabase
//Verificatione-mailwillbesenthere
//Gobacktoregistrationpageandshowthesuccessmessage
returnRedirect::to('registration')->with('success','Youhavesuccessfullycreatedanaccount.Theverificationlinkhasbeensenttoe-mailaddressyouhaveprovided.Pleaseclickonthatlinktoactivateyouraccount.');
注册之后,用户的账户仍然是无效的直到用户的邮箱被验证。此功能确认用户是输入电子邮件地址的所有者,并有助于防止垃圾邮件以及未经授权的电子邮件使用和信息泄露。
整个流程是非常简单的——当一个新用户被创建时,在注册过过程中,一封包含验证链接的邮件便会被发送到用户填写的邮箱地址中。在用户点击邮箱验证链接和确认邮箱地址之前,用户是不能进行登录和使用网站应用的。
关于验证的链接有几件事情是需要注意的。验证的链接需要包含一个随机生成的token,这个token应该足够长并且只在一段时间段内是有效的,这样做的方法是为了防止网络攻击。同时,邮箱验证中也需要包含用户的唯一标识,这样就可以避免那些攻击多用户的潜在危险。
现在让我们来看看在实践中如何生成一个验证链接:
//Wewillgeneratearandom32alphanumericstring //Itisalmostimpossibletobrute-forcethiskeyspace $code=str_random(32); $user->confirmation_code=$code;
一旦这个验证被创建就把他存储到数据库中,发送给用户:
Mail::send('emails.email-confirmation',array('code'=>$code,'id'=>$user->id),function($message)
{
$message->from('my@domain.com','Mydomain.com')->to($user->email,$user->fname.''.$user->lname)->subject('Mydomain.com:E-mailconfirmation');
});
邮箱验证的内容:
<!DOCTYPEhtml> <htmllang="en-US"> <head> <metacharset="utf-8"/> </head> <body> <pstyle="margin:0"> Pleaseconfirmyoure-mailaddressbyclickingthefollowinglink: <ahref="http://mydomain.com/verify?code=<?phpecho$code;?>&user=<?phpecho$id;?>"></a> </p> </body> </html>
现在让我们来验证一下它是否可行:
$user=User::where('id','=',Input::get('user'))
->where('is_active','=',0)
->where('verify_token','=',Input::get('code'))
->where('created_at','>=',time()-(86400*2))
->first();
if($user){
$user->verify_token=null;
$user->is_active=1;
if(!$user->save()){
//Ifunabletowritetodatabaseforanyreason,showtheerror
returnRedirect::to('verify')->with('error','Unabletoconnecttodatabaseatthistime.Pleasetryagainlater.');
}
//Showthesuccessmessage
returnRedirect::to('verify')->with('success','Youaccountisnowactive.Thankyou.');
}
//Codenotvalid,showerrormessage
returnRedirect::to('verify')->with('error','Verificationcodenotvalid.');
结论:
上面展示的代码只是一个教程示例,并且没有通过足够的测试。在你的web应用中使用的时候请先测试一下。上面的代码是在Laravel框架中完成的,但是你可以很轻松的把它迁移到其他的PHP框架中。同时,验证链接的有效时间为48小时,之后就过期。引入一个工作队列就可以很好的及时处理那些已经过期的验证链接。
本文实PHPChina原创翻译,原文转载于http://www.phpchina.com/portal.php?mod=view&aid=39888,小编认为这篇文章很具有学习的价值,分享给大家,希望对大家的学习有所帮助。