自己特別在網路上找了相關的資料，發現真的很少人直接寫這樣的主題還提供原始碼，因為資安這種東西敘述起來不算容易，且原始碼給出來後又容易給別人抓到邏輯漏洞，但其實擁有這種知識的人應該更有道德，不運用自己的知識去破壞他人的財產，很多東西就是防君子不防小人，就跟你家的大門鎖一樣的道理，若真的有人使用暴力，在強大的鎖都不會有太大的作用，但依然能起點效果，例如拖歹徒的時間與耐心，所以基本上還是要做這樣的防護機制，不然大家都不鎖門就好了呀！😜 廢話說到這，本文當然不給完整原始碼（資安問題），但會給很完整的概念與片段原始碼提供參考（盡量由上至下解說），以下的原始碼都是寫在同一個 .php 檔案中，我們馬上開始！😎

⚠ 關於 Session 的啟動

沒錯！這次要運用到 Session 來存放登入狀態，所以程式開頭一定要先啟動 Session 唷！原始碼：

session_start();

⌨ PHP 取得使用者 IP

首先我想最基本的就是先用 PHP 取得使用者 IP，不過說真的這只是拿來做判斷是不是同個人在重複登入，如果有人去竄改 IP 可就沒輒了！不過再次強調！這篇文章介紹的技巧都是初等的，只防君子不防小人！原始碼：

if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
    $userip = $_SERVER['HTTP_CLIENT_IP'];
} else if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $userip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else {
    $userip = $_SERVER['REMOTE_ADDR'];
}

用 $_SERVER 取得使用者 IP 並存入變數 $userip 中，有三種不同的取得方式，依照可信程度排列（越上面越可信），方便我們做 IP 記錄。

※ 2019/08/18 更新：上方為原始練習的版本，正式狀態建議使用 REMOTE_ADDR 取得真實 IP，其他（例如：HTTP_CLIENT_IP）皆可以透過修改 header 來竄改 IP，因此上方的原始碼建議修正成以下的版本：

$userip = $_SERVER['REMOTE_ADDR'];

🤔 關於限制值與使用者 IP 的初始寫入設定

限制值我們要用 Session 存入，變數我先這樣設定（這邊當然還不用打入程式中）：

$_SESSION["login_limit"]

使用者 IP 也是要用 Session 存入，變數我先這樣設定（這邊也當然還不用打入程式中）：

$_SESSION["userip"]

為了不要干擾已經存在的 Session 限制值（因為限制值等於 0 代表遭到限制登入），首先要先檢查 Session 限制值是否存在，如果不存在且剛剛取得的使用者 IP 與前次 Session 存入的 IP（或者空值）不同，就可以直接設定以下原始碼：

if (!isset($_SESSION["login_limit"])) { // 如果尚未寫入限制值
    if ($userip != $_SESSION["userip"]) { // 確認現在的 IP 跟之前可能存過的 IP 不同
        $_SESSION["login_limit"] = 10; // 限制同個 IP 只能嘗試十次登入
    }
}

接下來判斷使用者是否是首次使用，所以先判斷 Session 使用者 IP 是否存在，不存在才將剛剛取得的使用者 IP 存入 Session 的使用者 IP 中，原始碼：

if (!isset($_SESSION["userip"])) { // 如果尚未寫入使用者 IP
    $_SESSION["userip"] = $userip; // 將使用者 IP 存入 Session
}

😎 重點區段：判斷 Session 限制值，以確定要繼續執行還是封鎖使用者登入

邏輯上，Session 限制值只要小於等於 0 就視為使用者已經登入超過限制次數，直接封鎖啦！此段原始碼如下：

if ($_SESSION["login_limit"] <= 0) {

echo "您的登入次數超過限制，已被限制登入！";

} else {

    // 尚未超過登入限制次數要執行的原始碼（這邊是登入主程式）

}

🤯 登入主程式內建立登入次數限制機制

感覺這邊有點燒腦，不過說起來非常簡單，就是帳密與資料庫對比後會有成功與失敗兩個區塊，成功區塊將 Session 限制值直接設定回預設值就完成了！原始碼：

$_SESSION["login_limit"] = 10; // 登入成功將次數設回限制值

失敗的區塊就稍微複雜些了！基本上判斷現在使用者 IP 與 Session 內的 IP 一樣就將 Session 限制次數 -1，若不一樣就將次數設回限制值，還要指定使用者 IP 存入 Session IP 變數中，不一樣的狀況大概是 IP 有變更，不過我覺得不做「不一樣」的部分好像也能跑。原始碼：

if ($userip == $_SESSION["userip"]) { // IP 一樣就將次數-1
                        $_SESSION["login_limit"]--;
                    } else { // IP 不一樣就將次數設回限制值
                        $_SESSION["userip"] = $userip;
                        $_SESSION["login_limit"] = 10;
}

當然失敗區塊可以傳回「您還有？次的登入機會」這樣的訊息唷！範例原始碼：

echo "您還有" . $_SESSION["login_limit"] . "次的登入機會";

唯一覺得怪的是被封鎖前最後顯示的是「您還有0次的登入機會」，不過這用 if 判斷句可以解決，但我覺得這樣顯示也沒差啦！的確是只剩 0 次機會 😂。

💬 更多雜談

沒錯！您已經看完所有原始碼，基本上這樣做就可以有一個很基本的登入次數限制機制，不過我真的建議將每次的登入記錄都存入網站的資料庫中，適時用人工的方式檢視惡意的登入，這樣就可以確保網站更加安全囉！這邊沒有談到存入資料庫的方式，我自己在系統中就有這樣設計，IP 的取得也是為了存入資料庫，所以您可以試試看這樣的作法，會比較保險！不過相信要看懂這篇文章您應該也要會存東西到資料庫中了！所以就不多說詳細作法與給原始碼啦！🤣 寫程式真的燒腦，我要去吃東西了！😋

▲ 登入次數限制示意圖。

【網站經營】WordPress 4.0 限制上傳圖片大小
📆 2015-02-25
📁 網站技術, 架站程式, WordPress

「靜態網頁」與「動態網頁」
📆 2015-01-08
📁 網站技術

Material icons:Google推出的高品質圖標字體
📆 2017-02-24
📁 網路應用, 網站技術

解決搜尋引擎蜘蛛導致主機資源滿載和網站掛掉的問題、.htaccess 擋壞蜘蛛
📆 2017-09-05
📁 網站技術, 伺服器

jQuery.qrcode：純前端生成 QR Code
📆 2019-09-25
📁 網站技術, JavaScript, jQuery

JavaScript & CSS 陀螺儀使圖片三維翻轉
📆 2020-03-12
📁 網站技術, HTML, CSS, JavaScript

Node-RED：讀取及查詢 MySQL 資料庫中的資料表
📆 2021-11-18
📁 網站技術, 資料庫, Node.js, SQL, Node-RED

JS:網頁下雪特效
📆 2013-12-19
📁 網站技術, JavaScript

《上一篇》PHP strip_tags() 過濾字串中的 HTML 標籤 《下一篇》Toastr：最佳的通知提示 jQuery 插件