4次登录尝试失败后，无法强制用户验证验证码以及电子邮件和密码

Hi all I am very new to PHP and currently working on a small login project using PHP MYSQL. Authentication part is fine as far as email & password requirement is concerned. However I would like to use recaptcha after 5 failed attempts, hence using the below code. My problem is irrespective of number of failed attempts I can't force user to verify recaptcha as they can sign-in after 10/20/30 failed attempts with correct email & password without verifying captcha. I am not using IPaddress check neither timestamp its just against an email address I am using to keep track of failed login attempts. May be I am not able to search effectively over internet but please help...!!!

  <?php
         session_start(); // Starting Session

        #Database connection
         include('../config/connection.php');


        $error=''; // Variable To Store Error Message
        if (isset($_POST['submit'])) 
        {
        if (empty($_POST['email']) OR empty($_POST['password'])) {
        $error = '<p class="alert alert-danger">One or either field is missing</p>';
        }

           $q = "SELECT login_attempts from users where email = '$email'";
           $r = mysqli_query($dbc, $q) OR die(mysqli_error());  
           $row = mysqli_fetch_assoc($r);

                   if($row['login_attempts']>=5){

                    $url = 'https://www.google.com/recaptcha/api/siteverify';
                    $privatekey = "====key====";
                    $response = file_get_contents($url."?secret=".$privatekey."$response=".$_POST['g-recaptcha-response']."&remoteip=".$_SERVER['REMOTE_ADDR']);   
                    $data = json_decode($response);

                    if(!(isset($data->success)) OR $data->success==false) {

                        $error = "Captch verification required as you have failed login more than 5 times !!!";

                    }

        } else {

        // Define $username and $password
        $email=mysqli_real_escape_string($dbc, $_POST['email']);
        $password = md5(SHA1($_POST['password']));


        // SQL query to fetch information of registerd users and finds user match.
            $q = "SELECT * FROM users WHERE email = '$email' AND password ='$password' AND Activation IS NULL";
            $r = mysqli_query($dbc, $q)or die(mysqli_error());
            $num_row = mysqli_num_rows($r);
            $row=mysqli_fetch_array($r);
              if( $num_row ==1 )
            {

                $_SESSION['username'] = $email;
                header('Location:Index.php');

            } else {
                $query = "UPDATE users SET login_attempts=login_attempts+1 WHERE email='$email'";
                $result = mysqli_query($dbc,$query) or die(mysqli_error());

                $error = '<p class="alert alert-danger">Username or Password don\'t match</p>';
                    }
                mysqli_close($dbc); // Closing Connection
            }
        }
        ?>

        <body>

    <div class="container" id="recovery">
    <div class="row">
        <div class="col-md-6 col-md-offset-3">
          <div class="panel panel-warning">
          <div class="panel-heading"><h2 class="panel-title"> <strong>Login</strong> </h2></div>
          <div class="panel-body">
          <?php if(isset($error) AND $error !=''){echo $error; }?></p>
            <form action="signin.php" method="post" role="form">

              <div class="form-group">
                <label for="email">Email address</label>
                <input type="email" class="form-control" id="email" name="email" placeholder="Email" >
              </div>

              <div class="form-group">
                <label for="password">Password</label>
                <input type="password" class="form-control" id="password" name="password" placeholder="Password" >
              </div>

              <div class="form-group">
                 <a href ="recovery.php" style="float:right">Can't access my account</a>
              </div>


              <div class="form-group">
               <div class="g-recaptcha" data-sitekey="6LcvdBMTAAAAAIYXE3ep-iUx5AWDvH7qmRdh00it"></div>
              </div>

                <button type="submit" name= "submit" class="btn btn-success">Sign In</button><br/><br/>

              <span>Not a member yet&nbsp&nbsp<a href ="register.php">Sign Up</a></span>
            </form>
          </div>
        </div>
        </div>
        </div>
</div>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

报告相同问题？

关注问题

超级用户修改正在登录中的用户密码之后当前强制退出 java
2017-12-04 08:00

回答 5 已采纳 b/s做不到强制load的，除非一个有个请求在做这个工作，但是显然是不可能的。你可以将权限存在一个缓存中，超管修改其他用户权限时就根据ID把缓存中的数据修改，这样当用户刷新页面是这个权限就会起作用了。
oracle启用密码复杂度后现有的用户会强制要求修改密码吗？ oracle 有问必答
2022-03-11 13:09

回答 3 已采纳不会的，只不过你修改密码的话必须达到所设置的要求
登陆界面添加功能判断用户是否是第一次登陆，让他修改密码 java
2017-06-13 06:44

回答 5 已采纳首先你前端页面有一个隐藏的input标签，第一次请求登陆页面的时候用EL设置值默认为0（使用session可以知道是不是第一次请求该页面）。前端页面要在页面加载完的时候，检查这个值是不是0，不是就弹出
如何为Office 365订阅的所有用户强制执行多因素身份验证
2020-09-16 20:36

culiuman3228的博客首先，您需要选择“接收验证通知”(这意味着一条消息将在手机上的Microsoft Authenticator应用程序上弹出，要求您批准或拒绝登录到您的帐户)或“使用验证码”(这表示您登录Office 365时必须输入手机上Microsoft ...
win7旗舰版实现多用户远程登录后，如何解决不同电脑登录同一用户时之前登录被强制断开的问题？
2015-09-28 07:05

回答 1 已采纳 windows 7被设计成桌面操作系统，最多只能有一个人操作计算机。这不是技术上的问题，而是商业上的问题。否则谁还买昂贵的windows server。如果有用户登录，不允许别的用户登录，这种设计
spring security如何强制用户退出登录？ spring
2021-10-29 17:51

回答 1 已采纳清空session然后重定向到登录页
宝塔面板SSL证书Let's Encrypt安装后强制https无法访问原网站 centos web安全
2022-07-23 23:46

回答 1 已采纳啊，你把抛出的异常代码和报错复制到几十记事本里面发给我，我看看哦，你可以设置成HTTP和HTTPs 都能访问的
大数据工程专业技术证书考试-数据分析与应用
2022-08-30 07:21

潘达斯奈基~的博客第一千零三十三条　除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：（一）以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁；（二）进入、拍摄、窥视他人的...
修改密码成功后，如何让token失效 java
2022-04-13 09:51

回答 3 已采纳看你资源服务器采用什么方式去校验jwt token的，网上绝大部分的配置都是去拉取jwt配置，自己去校验jwt，这种方式就不行了，你要是去调用认证服务的/oauth/check_token去校验tok
eclipse里启动一次tomcat后，tomcat莫名其妙就坏了，再启动就失败了，烦死了 java 有问必答问答团队
2021-05-17 00:02

回答 3 已采纳你的环境变量里面配置了1.6,1.8版本的JDK，有冲突，删除一个配置就正常。
C++将void*类型的指针强制转换后无法解引用该指针所指向的对象 c++
2017-11-12 04:51

回答 4 已采纳 c/c++语言中，void意思是 **无类型**，所以不能声明类型为void的变量，但可以声明指向void类型的指针。 ``` void *foo ; ///Works fine
大数据技术之数据安全与网络安全——CMS靶场(文章管理系统)实训
2023-11-25 00:25

星川皆无恙的博客数据与网络安全作为保障大数据系统正常运行的基石，同样备受关注。...本文通过CMS靶场实训，深入分析CMS系统的安全漏洞，探讨防范措施，提供实战经验和攻防能力，有助于加强大数据与网络安全意识。
请大神指导如何当管理员在后台删除一个用户后，前台的用户就强制退出 java
2017-03-07 06:33

回答 3 已采纳 https://my.oschina.net/ldl123292/blog/304360
给工程师：关于证书（certificate）和公钥基础设施（PKI）的一切
2022-04-30 09:45

运维之美的博客加密方式的演进： MAC 最早的验证消息是否被篡改的方式，发送消息时附带一段验证码 | 双方共享同一密码，做哈希；最常用的哈希算法：HMAC | \/ Signature 解决 MAC 存在的一些问题；双方不再共享同一密码，而是...
公安大数据平台建设项目
2023-04-01 15:00

FRDATA1550333的博客根据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）标准的第三级安全保护能力要求以及公安部相关建设标准，构建数据汇聚节点、用户汇聚节点，实现用户接入网改造、汇聚层改造，形成一个高性能
没有解决我的问题, 去提问

悬赏问题

¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度
¥30 关于#r语言#的问题：如何对R语言中mfgarch包中构建的garch-midas模型进行样本内长期波动率预测和样本外长期波动率预测
¥15 ETLCloud 处理json多层级问题
¥15 matlab中使用gurobi时报错
¥15 这个主板怎么能扩出一两个sata口
¥15 不是，这到底错哪儿了😭
¥15 2020长安杯与连接网探
¥15 关于#matlab#的问题：在模糊控制器中选出线路信息，在simulink中根据线路信息生成速度时间目标曲线（初速度为20m/s，15秒后减为0的速度时间图像）我想问线路信息是什么

码龄粉丝数原力等级 --

4次登录尝试失败后，无法强制用户验证验证码以及电子邮件和密码

0条回答默认最新

悬赏问题

4次登录尝试失败后，无法强制用户验证验证码以及电子邮件和密码

0条回答 默认 最新

悬赏问题

0条回答默认最新