我有一个非常简单的脚本来创建用户:
<?php
include 'mysqlserver.php';
session_start();
$con = mysql_connect($mysql_host, $mysql_username,$mysql_password);
if (!$con) {
die('Could not connect: ' . mysql_error());
}
mysql_select_db($mysql_db, $con);
$newuser = $_POST[username];
$newpassword = $_POST[password];
$confirmnewpassword = $_POST[confirmpassword];
if ($newpassword != $confirmnewpassword) {
die('Passwords do not match.');
}
if ($newuser == null) {
die('You need to choose a username!');
} elseif ($newpassword == null) {
die('You need to enter a password!');
}
$avail_query = mysql_query("SELECT * FROM users WHERE username='$newuser'");
$avail_numrows = mysql_num_rows($avail_query);
if ($avail_numrows != 0) {
die('That user already exists');
}
mysql_query("INSERT INTO users (username, password)
VALUES ('$newuser', '$newpassword')");
$_SESSION['username'] == $newuser;
mysql_close($con);
?>
<script type="text/javascript">
function enterUCP(){
window.location = "/member.php"
}
</script>
</head>
<body onLoad="setTimeout('enterUCP()', 3000)">
Account created! Logging you in...
</body>
最初,我的脚本只是在创建帐户后将您重定向到登录页面。我一直在尝试对其进行调整,以便您在创建帐户后登录。出于某种原因,我无法编辑 $_SESSION['username'] 或任何其他会话变量,即使我已经在第 3 行开始了会话。我很困惑,因为我的其他一些 PHP 脚本正确地操作了 $_SESSION 变量,我说不出我的有什么不同。
PS请不要评论我系统的安全性。它可能非常不安全,但我只是在为原型编写。
编辑:只是为了让这个问题不那么无用,任何人都可以在这里找到任何严重的安全漏洞吗?