一个完整、安全的用户登录系统

　　＜?php

　　　$hidden_hash_var='your_secret_password_here';

　　　$logged_in=false;
　　　unset($logged_in);

　　　function user_isloggedin() {
　　　　global $user_name,$id_hash,$hidden_hash_var,$logged_in;
　　　　file://已经进行无序码的检测了吗

　　　　file://如果是的话，返回该变量

　　　　if ( isset($logged_in) ) {

　　　　　return $logged_in;

　　　　　}

　　　　file://are both cookies present?

　　　　if ($user_name && $id_hash) {

　　　　/*

　　　　　由cookies中得来的用户名和系统超级密码产生一个认证用的无序码如果该无序码与cookie中的无序码一样，则cookies中的变量是可信的，用户已经登录

　　　　*/

　　　　　$hash=md5($user_name.$hidden_hash_var);

　　　　　if ($hash == $id_hash) {

　　　　　　file://无序码符合，设置一个全局变量，这样我们在再次调用该函数的时候，

　　　　　　file://就无需再次进行md5()运算

　　　　　　$logged_in=true;

　　　　　　return true;

　　　　　} else {

　　　　　　file://两个无序码不符合，没有登录

　　　　　　$logged_in=false;

　　　　　　return false;

　　　　　}

　　　　　} else {

　　　　　　 $logged_in=false;

　　　　　　 return false;

　　　　　　}

　　　　　}

　　　function user_set_tokens($user_name_in) {

　　　　/*

　　　　　一旦用户名和密码通过验证，就调用这个函数

　　　　*/

　　　　global $hidden_hash_var,$user_name,$id_hash;

　　　　　if (!$user_name_in) {

　　　　　　$feedback .= ' error - user name missing when setting tokens ';

　　　　　　return false;

　　　　　　}

　　　　$user_name=strtolower($user_name_in);

　　　　　file://使用用户名和超级密码创建一个无序码，作判断是否已经登录用

　　　　　$id_hash= md5($user_name.$hidden_hash_var);

　　　　　file://设置cookies的有效期为一个月，可设置为任何的值

　　　　　setcookie('user_name',$user_name,(time()+2592000),'/','',0);

　　　　　setcookie('id_hash',$id_hash,(time()+2592000),'/','',0);

　　　　}

　　?＞

　　＜?php

　　　　function user_change_email ($password1,$new_email,$user_name) {

　　　　　global $feedback,$hidden_hash_var;

　　　　　if (validate_email($new_email)) {

　　　　　　　$hash=md5($new_email.$hidden_hash_var);

　　　　　　　file://改变数据库中确认用的无序码值，但不改变email

　　　　　　 file://发出一个带有新认证码的确认email

　　　　　　　$user_name=strtolower($user_name);

　　　　　　　$password1=strtolower($password1);

　　　　　　　$sql="update user set confirm_hash='$hash' where user_name='$user_name' and password='". md5($password1) ."'";

　　　　　　　$result=db_query($sql);

　　　　　　　if (!$result || db_affected_rows($result) < 1) {

　　　　　　　　$feedback .= ' error - incorrect user name or password ';

　　　　　　　　return false;

　　　　　　　　} else {

　　　　　　　　　$feedback .= ' confirmation sent ';

　　　　　　　　　user_send_confirm_email($new_email,$hash);

　　　　　　　　　return true;

　　　　　　　　　}

　　　　　　　} else {

　　　　　　　　　$feedback .= ' new email address appears invalid ';

　　　　　　　　　return false;

　　　　　　　　}

　　　　　　　}

　　　　function user_confirm($hash,$email) {

　　　　　　/*

　　　　　　　用户点击认证email的相关连接时，连到一个确认的页面，该页面会调用这个函数，

　　　　　　*/

　　　　　global $feedback,$hidden_hash_var;

　　　　　　file://verify that they didn't tamper with the email address

　　　　　　$new_hash=md5($email.$hidden_hash_var);

　　　　　　if ($new_hash && ($new_hash==$hash)) {

　　　　　　　　file://在数据库中找出这个记录

　　　　　　　　$sql="select * from user where confirm_hash='$hash'";

　　　　　　　　$result=db_query($sql);

　　　　　　　　if (!$result || db_numrows($result) < 1) {

　　　　　　　　　　$feedback .= ' error - hash not found ';

　　　　　　　　　　return false;

　　　　　　　　} else {

　　　　　　　　　　file://确认email，并且设置帐号为已经激活

　　　　　　　　　　$feedback .= ' user account updated - you are now logged in ';

　　　　　　　　　　user_set_tokens(db_result($result,0,'user_name'));

　　　　　　　　　　$sql="update user set email='$email',is_confirmed='1' where confirm_hash='$hash'";

　　　　　　　　　　$result=db_query($sql);

　　　　　　　　　　return true;

　　　　　　　　　}

　　　　　　　　} else {

　　　　　　　　　$feedback .= ' hash invalid - update failed ';

　　　　　　　　　return false;

　　　　　　　　}

　　　　　　　}

　　　　function user_send_confirm_email($email,$hash) {

　　　　　　/*

　　　　　　　这个函数在首次注册或者改变email地址时使用

　　　　　　*/

　　　　　　　$message = "thank you for registering at company.com".

　　　　　　　"/nsimply follow this link to confirm your registration: ".
　　　　　　 "/n/nhttp://www.company.com/account/confirm.php?hash=$hash&email=". urlencode($email). "/n/nonce you confirm, you can use the services on phpbuilder.";
mail ($email,'registration confirmation',$message,'from: [email protected]');

　　　　　 }

　　　　?＞