0

我对 php 比较陌生,我正在尝试编写一个非常简单的登录脚本。我的基本功能已关闭,但我无法登录系统。我的登录脚本在下面,我的注册脚本也在下面。

检查登录.php

include_once 'inc/db.inc.php';

$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string(md5($_POST['password']));


try {
$sql="SELECT id, username, password FROM users WHERE username='$username' and password='$password'";
$result = $pdo->query($sql);
$count=mysql_num_rows($result);
// If result matched $username and $password, table row must be 1 row
if($count == 1){

    // Register $username, $password and redirect to file "index.php"
     session_register("username");
     session_register("password"); 
     header("Location: index.php");
 }
 else {
 header("Location: login.php?invalid=1");
 }
}

catch (PDOException $e) {
    echo $e;
}

ob_end_flush();

?>

检查reg.php

include_once 'inc/db.inc.php';

 //This makes sure they did not leave any fields blank
 if (!$_POST['username'] | !$_POST['password'] | !$_POST['passwordconf'] ) {
    die('You did not complete all of the required fields');
}

if ($_POST['password'] != $_POST['passwordconf']) {
    die('Your passwords did not match. ');
}

$_POST['password'] = md5($_POST['password']);
if (!get_magic_quotes_gpc()) {
    $_POST['password'] = addslashes($_POST['password']);
    $_POST['username'] = addslashes($_POST['username']);
        }
$username = $_POST['username'];
$password = $_POST['password'];

 try {
 // now we insert it into the database
$sql = "INSERT INTO users(username,password) VALUES ('$username','$password')";
$result = $pdo->exec($sql);
header("Location: index.php");

} catch (PDOException $e){
 echo $e;
}
?>

我知道注册正在写入数据库,但每次我尝试有效登录时,我都会收到我的无效凭据标志。你能做的任何事情来帮助我都会很棒。谢谢你。

4

4 回答 4

0

首先你应该清除一些东西:

1.

if (!$_POST['username'] | !$_POST['password'] | !$_POST['passwordconf'] ) {
die('You did not complete all of the required fields');}

它应该是 && 而不是 |。

  1. 在您的代码中,无法检查用户名是否存在,所以我猜您有多个用户具有相同的用户名。在插入您的 checkreg.php 之前,您应该首先检查用户名是否存在。

  2. 在您的 checklogin.php 中将 if($count == 1) 更改为 if($count > 0)

如果这没有帮助,您能否给我更多信息,例如数据库数据(现在数据库中的数据)

于 2013-02-27T19:17:21.097 回答
0 
<?php
// Use of session_register() is deprecated
$barney = "A big purple dinosaur.";
session_register("barney");

// Use of $_SESSION is preferred, as of PHP 4.1.0
$_SESSION["zim"] = "An invader from another planet.";

// The old way was to use $HTTP_SESSION_VARS
$HTTP_SESSION_VARS["spongebob"] = "He's got square pants.";
?>

警告:

自 PHP 5.3.0 起,该函数已被弃用,自 PHP 5.4.0 起已移除。

于 2013-02-27T19:19:26.803 回答
0

几件事要尝试:

1) session_register 函数调用已弃用。http://php.net/manual/en/function.session-register.php。如果可能的话,你真的应该使用 $_SESSION 。

像这样的东西:

 $_SESSION["username"] = $username;
 $_SESSION["password"] = "validated"; // md5 is variable so you can't easily check for it on next page render

2) 测试值时,您不需要 $_POST,您想在下一页渲染中再次使用 $_SESSION。像这样的东西:

if ("validated" == $_SESSION["password"]) {
    // You're logged in...
}

3) 注意,要填充 $_SESSION 数组,您必须调用 session_start(); 使用前一次且仅一次。(http://www.php.net/manual/en/function.session-start.php了解更多。)

4) 我知道这是示例代码,但可能存在 SQL 注入攻击。需要转义这些变量。

$sql="SELECT id, username, password FROM users WHERE username='$username' and password='$password'";

于 2013-02-27T19:23:51.903 回答
0

您的问题可能与session_register()有关,具体取决于您使用的 PHP 版本。试着放

    session_start();

checklogin.php的顶部,然后使用

    ...
    $_SESSION['username'] = $username;
    $_SESSION['password'] = $password;
    ...

而不是session_register()

于 2013-02-27T19:25:18.037 回答