1

我正在制作这个简单的代码来验证用户。带有表单的页面是:>login.php。使用以下代码。

登录.php: 

<html>    
<body>  

<div style="position:absolute;left:300px;top:300px;width:300px;height:100px;z-index:9;>  

<form name="form1" method="POST" action="check.php">  
Username:<br />  
  <input type="text" name="Username" />  
  <br /><br />   
  Password:<br />  
  <input type="password" name="Password" />  
  <br /><br /><br/>  
  <input type=button onClick="location.href='check.php'" value='Continue'       name='continue'/>  
  </form>  
</div>  
</body>  
</html>

表单字段值在下一个 php 页面中使用,代码如下:

检查.php: 

<?php
session_start();
$con = mysql_connect("localhost", "root", "");
mysql_select_db("aviation", $con) or die(mysql_error());
if (isset($_POST['continue'])) {
    $userName = $_POST[Username];
    $passWord = $_POST[Password];
    mysql_select_db('aviation');
    $query = "select * from users where Username='" . $userName . "'and     Password='" . $passWord . "'";
    $result = mysql_query($query, $con);
    if (!$result) {
        die('Could not enter data: ' . mysql_error());
    }
    $rows = mysql_num_rows($result);
    if ($rows == 1) {
        $_SESSION['Username'];
        $_SESSION['Password'];
        echo "Successful";
        echo "<BR>";
        echo "You are authorized to update the status of Bays.";
        echo "<BR>";
        $Msg = "Redirecting....";
        echo '<script type="text/javascript">  
         alert("' . $Msg . '");  
  </script>';
        header("location:upbstatus.php");
    } elseif ($userName == "" || $passWord == "") {
        $errorMsg = "Data was not entered <br/> Enter Username and Password";
        echo '<script type="text/javascript">  
         alert("' . $errorMsg . '");  
  </script>';
        else {
            $errorMsg = "Data Does Not Match <br/> Re-Enter Username and Password";
            $errorMsg = "Data was not entered <br/> Enter Username and Password";
            echo '<script type="text/javascript">  
         alert("' . $errorMsg . '");  
  </script>';
        }
    } else {
        echo ("  =============== not SET ===============");
    }
?>

它总是返回: =============== not SET ===============

我很困惑为什么会这样。有人可以帮忙吗?将不胜感激。
谢谢你。

4

4 回答 4

2

您的 onclick ( onClick="location.href='check.php'") 事件处理程序check.php在表单可以发出请求之前发出POST请求。单击按钮后,它会重定向到向NOTcheck.php发送 GET 请求的按钮。check.phpPOST

要修复它,您需要将按钮更改为提交类型的输入。

   <input type='submit' value='Continue' name='continue' />

附加信息:

  1. 引用数组索引。喜欢$_POST['Username']
  2. 使用 . 转义 sql 中的参数mysql_real_escape_string。或使用准备好的语句。
于 2012-12-29T17:39:24.323 回答
1

代码有几个问题:

奇怪的形式行为

<input type=button onClick="location.href='check.php'" value='Continue'       name='continue'/>

你为什么做这个?这根本不会发送用户名和密码字段,因为浏览器将在提交表单之前重定向。如果要在单击时提交表单,请使用<input type="submit">

<input type="submit" value="Continue" name="continue" />

引用数组索引

$userName = $_POST[Username];  
$passWord = $_POST[Password];

这会导致在 PHP 中发出通知,因为该常量Username不存在。改用这个:

$userName = $_POST['Username'];
$passWord = $_POST['Password'];

我不会进入$_POST['Username']可能无法设置的场景。

SQL 中的转义变量

$query = "select * from users where Username='".$userName."'and     Password='".$passWord."'";

这是危险的;您应该正确转义变量:

$query = sprintf("select * from users where Username='%s' and Password='%s'",
    mysql_real_escape_string($userName),
    mysql_real_escape_string($passWord)
);

不要以纯文本形式存储密码

以纯文本形式存储密码只是自找麻烦。改为使用 bcrypt 存储密码的哈希值。

另请参阅:PHP 密码的安全哈希和盐

不要使用mysql_xx函数

不推荐使用此功能,而支持PDO/mysqli和准备好的语句。

于 2012-12-29T17:42:58.400 回答
0 
<form name="form1" method="POST" action="check.php">  
Username:<br />  
  <input type="text" name="Username" />  
  <br /><br />   
  Password:<br />  
  <input type="password" name="Password" />  
  <br /><br /><br/>  
  <input type="submit" value="Continue" name="continue"/>  
  </form>
于 2012-12-29T17:45:58.007 回答
0

单击提交按钮时删除。当你在你的时候,修正你的报价。

于 2012-12-29T17:40:23.807 回答