我不熟悉PHP/MySQL和电子邮件。我相信这个问题已经被问过了,但我找不到它。如果这很麻烦,我向您道歉并提前感谢您!
有没有可能做一些事情,让用户必须先点击电子邮件中的链接,然后再将用户添加到数据库中?
而且你知道吗,对于一些网站,他们为每个电子邮件验证创建一个唯一的网址(在图片中显示为红色)?他们如何为每个电子邮件创建一个唯一的网页?
非常感谢您的关注!如果可能的话,我更喜欢没有可以复制和粘贴的直接脚本,因为我喜欢自己找出来:P但请给我一些提示,因为我完全迷失了。
如果有任何不清楚的地方,请告诉我,我会尽力澄清!
注册流程
用户填写一个包括电子邮件和密码在内的基本信息表格,并将表单提交给register.php
register.php将用户信息添加到临时位置,例如包含所有用户提交的字段以及过期时间expiration和激活码activation_code字段的pending_users表。该代码可以是任意随机、无法猜测的值。例如:hash('sha1', mt_rand(10000,99999).md_rand(10000,99999))。只要不做任何可预知的事情,比如哈希当前时间或用户名。
register.php向用户发送一封电子邮件,其中包含一个URL,链接到activate.php并包含激活码。例如:example.com/activate.php?code=a2ef24... 该电子邮件还应告知用户过期时间(1到12小时有效期对我来说似乎可以接受)
当用户点击链接时,她会触发一个GET请求到activate.php。这样做,用户就证明了自己拥有该电子邮件地址
activate.php从请求参数(例如$code=$_GET['code'])中获取代码。使用该代码,脚本查询pending_users表以获取与该代码匹配的记录。
如果找到了该代码,请在继续之前检查它是否已过期。过期时间可以防止随后进入用户帐户的其他人完成注册。
如果代码有效,请从匹配的记录中捕获用户详细信息并将该记录从pending_users表中删除。
在常规的users表中编写匹配的记录。在完成此操作之前,用户无法登录,因为登录脚本仅检查users表,并忽略pending_users表。
注册完成。
安全注意事项:
为了保护您的用户,请勿以明文存储密码。当您从注册表单(例如$_POST['pwd'])接收它时,请执行以下操作:
$pwd = $_POST['pwd'];
//first validate; it should meet minimum requirements
$pwd_hash = password_hash($pwd, PASSWORD_DEFAULT); // <- the hash gets stored
password_verify($cleartext_pwd, $pwd_hash);
如果密码正确,则返回true;否则返回false。
安全注意事项II:
为了您的保护,请永远不要直接插入用户提供的值到您的数据库查询中。这意味着来自外部的任何值,不仅仅是用户名、电子邮件、密码等等,还包括从用户获取的值,例如上面的activation_code、cookie 值或者头信息(例如User-Agent)。相反,学习使用预处理语句。这将保护您免受SQL注入攻击。
print_r($_GET) 来再次检查激活码是否未显示。如果确实如此,请打开一个新问题并询问相关内容。 - BeetleJuice不确定在验证后是否可以添加数据到数据库...
当我想要做类似的事情时,我在用户表(或元用户表)中创建一个名为“validate”的数据。 如果这个数据是“true”,那么用户已经完成了验证,他可以使用他的账户。 如果它仍然设置为“false”,则用户没有验证他的帐户:他无法使用它。
通过这样做,您必须确保在用户尝试登录时帐户已经被验证,但这并不是大问题^^
希望这对您有所帮助。
example.com/activate.php?code=a2ef24...。格式化为您看到的URL将使用.htaccess规则在幕后重写,以看起来与此完全相同。 - BeetleJuice