0

我有以下登录脚本,当用户点击 www.msheeksproductions.com 上登录表单上的提交按钮时,该脚本会运行。出于安全原因,我已删除数据库登录信息。

    <?php
error_reporting(E_ALL);
        $user = '***************';
        $pass = '***************';
        $host = '***************';
        $data = '***************';
$userN=$_POST['userN'];
$passW=$_POST['passW'];

mysql_connect($host, $user, $pass)or die("Could not connect");
mysql_select_db($data)or die("Database Not Found");

$query="SELECT userID FROM sec_login WHERE Username='$userN' AND Password='passW'";
$result=mysql_query($query) or die(mysql_error());

$user=mysql_num_rows($result);
if($user==1) {
    session_register("userN");
    header("location: ../index.php");
}
else {
echo("You have entered invalid login information.");
}
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Untitled Document</title>
</head>

<body>
</body>
</html>

我的问题是,如果你登陆 security.php 页面,什么都不会发生。PHP 脚本似乎根本没有被执行。我不确定我是否在某处有语法错误,或者是否是我的主机帐户的配置问题。服务器使用 PHP 5.2。有谁知道 Bluehost 是否存在此类问题的已知问题?如果有编码错误,那么显然我也很想知道。我是新手,所以我可能没有做对所有事情。

另外,我试图在 index.php 文件中再次调用该变量,该文件似乎没有返回任何数据。

<?php $usr=$_SESSION['username']; 
echo "User Name Is: $usr"; ?>

提前致谢!

4

2 回答 2

2

请考虑以下几点:

  • 注意 SQL 注入(被 mysql_real_escape_string 阻止);
  • 谨防会话固定/劫持;
  • 当心或暴力攻击;

  • 请检查http://php.net/pdo以获得更好的错误处理和查询参数....

    <?php
error_reporting(E_ALL);
ini_set('display_errors', 1);

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $user = '***************';
    $pass = '***************';
    $host = '***************';
    $data = '***************';

    mysql_connect($host, $user, $pass) or die("Could not connect");
    mysql_select_db($data) or die("Database Not Found");

    $result=mysql_query("SELECT COUNT(1) FROM sec_login WHERE Username='".mysql_real_escape_string($_POST['username'])."' AND Password='".mysql_real_escape_string($_POST['password'])."'") or die(mysql_error());

    if(mysql_result($result) == 1) {
        $_SESSION['username'] = $_POST['username'];
        header("location: ../index.php");
        exit;
    } else {
        $message = 'You have failed to provide valid credentials.';
    }
} else {
    $message = '<form method="post">
                    <input type="text" name="username" value="username" />
                    <br />
                    <input type="password" name="password" value="password" />
                    <br />
                    <input type="submit" />
                </form>';
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
        <title>Untitled Document</title>
    </head>

    <body>
        <?php echo $message; ?>
    </body>
</html>
于 2012-05-21T17:30:45.730 回答
1

好吧,以防有人偶然发现这一点并需要一个例子。以下是我现在用于功能登录脚本的代码:

<?php
session_start();
error_reporting(E_ALL);
ini_set('display_errors', 1);

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $user = '***********';
    $pass = '***********';
    $host = '***********';
    $data = '***********';

    mysql_connect($host, $user, $pass) or die("Could not connect");
    mysql_select_db($data) or die("Database Not Found");

    $result=mysql_query("SELECT userID FROM sec_login WHERE Username='".mysql_real_escape_string($_POST['userN'])."' AND Password='".mysql_real_escape_string($_POST['passW'])."'") or die(mysql_error());

    if(mysql_num_rows($result) == 1) {
        $_SESSION['login']=1;
        $_SESSION['username']=$_POST['userN'];
        $session= session_name() . '=' . session_id();
        header("location: ../index.php?".$session);
        exit();
    } else {
        $message = 'You have failed to provide valid credentials.';
    }
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
        <title>Untitled Document</title>
    </head>

    <body>
        <?php echo $message; ?>
    </body>
</html>

当然,连接变量省略了。为了让其他页面获取会话变量,请确保每个页面都以(在字面上的第一行代码,甚至在您的 doctype 声明之前)开始

谢谢大家的帮助!

于 2012-05-22T20:27:55.857 回答