0

您好,我正在尝试创建一个帐户激活页面,但是当我尝试激活一个帐户时,它可以正常工作两次。所以基本上我的激活链接使用用base64_encode()编码的用户ID和用crypt(sha512)编码的用户传递。所以我在注册页面上的代码如下所示:

    $qry = "SELECT * FROM users WHERE username='$username'"; 
    $res = mysql_query($qry);
    $row = mysql_fetch_row($res);
    $userid=$row[0];//gets the id of the user
    $userpass=$row[2];//gets the pass from database (which is already encoded)
    $userid=base64_encode($userid); //encodes userid
    $code=substr($userpass,6,strlen($userpass)-6); // cuts off some $6$xx$ information which is needed for crypt.
    $message="//here is some message and then the link 
    http://www.xxx.be/forum/confirm.php?userid=".$userid."&code=".$code;

    mail($email , "xxx registration confirmation" ,$message,"From:NoReply@xxx.be");

这是我在 confirm.php 中使用的代码:

$userid=base64_decode($_GET['userid']); 
$qry = "SELECT * FROM users WHERE id='$userid'"; 
$res = mysql_query($qry);
$row = mysql_fetch_row($res);
if ($userid%2==0) {
$pass=substr($row[2],0,strlen($row[2])-1);
} else {
$pass=$row[2];
}
if ($pass=="$6$10$".$_GET['code']) {
$qry = "UPDATE users SET activated=1
WHERE id=$userid"; 
$res = mysql_query($qry);

所以我的问题来了:(confirm.php 中的第 5-9 行)我不明白为什么我必须这样做。每次我创建一个帐户时,它只在用户 ID 为奇数时才有效。如果它甚至在密码中添加了一个点。所以像这样:
用户ID:1密码:
用户ID:2密码:stackoverflow。

所以这就是为什么 $pass 没有匹配 "$6$10$".$_GET['code'] 并且整个代码失败的原因。我完全不知道为什么当我的用户 ID 为 0 时它会添加点。ps:confirm.php 中的第 5-9 行解决了这个问题。但我只想知道它为什么这样做。

编辑:请在回答之前阅读整篇文章。

4

1 回答 1

0 
if ($userid%2==0) {
    $pass=substr($row[2],0,strlen($row[2])-1);
} else {
    $pass=$row[2];
}

该语句是无用的,它正在破坏您的代码。如果 userid == 偶数,那么它会从 $row[2] 字符串中截断最后一个字符。

要修复,您可以删除 if 语句并拥有

$pass = $row[2];

另外作为旁注,正如有人评论的那样,您应该考虑使用准备好的语句来防止 SQL 注入。或者至少在将您使用的 $_GET 变量放入查询之前对其进行清理。

于 2012-06-08T11:00:46.787 回答