1

大家好,这是我的第一个问题,所以如果我解释错误,请不要杀了我。我正在尝试使用数据库创建一个用户帐户系统,问题是当有人登录时,如果另一个用户登录并将 URL 从他的帐户 id: index.php?us=7 更改为 index.php?us= 270 他/她可以进入其他用户的vip页面。这是登录控制代码。

<?

//incluir librerias
include_once "funciones/funciones_BD.php";
include_once "constantes/constantes.php";

//abrir BD
Abrir_BD($link,$Servidor,$Usuario,$Clave,$BD);

$id = mysql_query("SELECT xidusuario FROM tblreferidos_usuarios WHERE xemail='".htmlentities($_REQUEST["email"])."'",$link);
$xid = mysql_fetch_row($id);
$usuario = mysql_query("SELECT xemail FROM tblreferidos_usuarios WHERE xemail='".htmlentities($_REQUEST["email"])."'",$link);
$Nusuario = mysql_num_rows($usuario);

//Si existe el usuario, validamos también la contraseña ingresada y el estado del usuario…
if($Nusuario != 0){
$clave = mysql_query("SELECT xpass FROM tblreferidos_usuarios WHERE xestado=1 AND xemail='".htmlentities($_REQUEST["email"])."' AND xpass='".htmlentities($_REQUEST["clave"])."'",$link);
$Nclave = mysql_num_rows($clave);
//Si el usuario y clave ingresado son correctos (y el usuario está activo en la BD), creamos la sesión del mismo.
if($Nclave != 0){
session_start();
//Guardamos dos variables de sesión que nos auxiliará para saber si se está o no "logueado" un usuario
$_SESSION["autentica"] = "SI";
$_SESSION["usuarioactual"] = $usuario; //nombre del usuario logueado.
//Direccionamos a nuestra página principal del sistema.
$us=$_REQUEST["email"];
header ("Location: referidos_index.php?us=$xid[0]");
}
else{
echo"<script>alert('La contrase\u00f1a del usuario no es correcta.')
window.location.href=\"referidos_login.php?\"</script>";
}
}else{
echo"<script>alert('El usuario no existe.');window.location.href=\"referidos_login.php\"    </script>";

}
mysql_close($link);

?>

这是我在其他每个页面中检查会话的代码

if(!isset($_SESSION["usuarioactual"]))
{
header("Location:referidos_login.php");
die();
}

如果有人能指出问题出在哪里,那就太好了!谢谢。

4

1 回答 1

0

如果不考虑安全性,这不能也不应该这样做。如果您正在学习 PHP,请以正确的方式进行。请使用准备好的语句来处理任何用户输入的代码。这是几行代码,但是:

$sql="******";
$stmnt=$mysqlidb->prepare($sql);
$stmnt->bind_param("******",******);
$stmnt->execute();
$stmnt->bind_result(******);
while($stmnt->fetch())
    {


    }
$stmnt->close();

将允许您安全地访问您的密码 - 您需要用自己的东西代替*

如果您只需要获取单行,则可以省略 while。

其次,将用户密码存储为哈希 -

define ("CRYPT_SALT","Random Stuff");
password=SHA1($_POST['password'].CRYPT_SALT);

您无法检索它们,但是其他人也无法检索它们。将提交的密码的哈希值与数据库中的哈希值进行比较。

验证后,不要通过 GET 传递用户数据。将用户数据存储在 $_SESSION 中。为了增加安全性,创建一个随机数(microtime() 的 SHA1 哈希就可以了)将它存储在 db 和 $_SESSION 中。

每次加载页面时,将 $_SESSION 中的 nonce 与 db 中的 nonce 与该用户名进行比较,如果它们匹配,则继续。理想情况下,您重新生成一个新的 nonce 并更新 SESSION 和 db 记录,以便用户可以看到下一页。

这种方法在不将所有数据存储在数据库中的情况下与它一样安全。它取决于大多数应用程序,特别是如果您使用 SSL,并且编码并不比您建议的较小系统更难。

于 2013-07-17T08:38:40.660 回答