0

我正在尝试通过从数据库中检索注册的用户名/密码来创建一个非常基本的 PHP 登录。这永远不会上线,我知道输入验证为零。我要做的就是在登录时从数据库中选择数据。

这是 index.html 上的登录表单:

    <table width="250" border="0" align="center" cellpadding="0" cellspacing="1"    bgcolor="#CCCCCC">
    <tr>
    <form name="form1" method="post" action="checklogin.php">
    <td>
    <table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
    <tr>
    <td colspan="3"><strong>Member Login </strong></td>
    </tr>
    <tr>
    <td width="78">Username</td>
    <td width="6">:</td>
    <td width="294"><input name="Username" type="text" id="Username"></td>
    </tr>
    <tr>
    <td>Password</td>
    <td>:</td>
    <td><input name="Password" type="text" id="Password"></td>
    </tr>
    <tr>
    <td>&nbsp;</td>
    <td>&nbsp;</td>
    <td><input type="submit" name="Submit" value="Login"></td>
    </tr>
    </table>
    </td>
    </form>
    </tr>
    </table>

这是 PHP checklogin.php:

   <?php

    $sql_connection = mysqli_connect ("localhost:8889","root","root","derek_website_tmp");

    if (mysqli_connect_errno())
{
 echo "failed to connect" . mysqli_connect_error();
}

    $Username=$_POST['Username'];
    $Password=$_POST['Password'];

    $sql = "SELECT * FROM $Members WHERE Username = '$Username' and Password = '$Password'"
    $result=mysqli_query($sql);

    $count = mysql_num_rows($result);

    if ($count==1) {
    $_SESSION['Username'] = $Username;
    $_SESSION['Password'] = $Password;
    header('location:login_success.php');
    }

    else {
    echo 'Wrong Username or Password';
    }

    if (!mysqli_query($sql_connection))
{
die('Error : ' . mysqli_error($sql_connection));
}

    mysqli_close ($sql_connection);

    ?>

当我尝试这个时,我得到一个错误检索 checklogin.php 任何帮助将不胜感激。

4

1 回答 1

2

首先,在开发过程中处理错误非常重要,所以我们检查我们的帖子是否存在,我们检查我们是否连接到数据库,我们检查我们的查询是否通过并且可以运行,我们检查我们提供给查询,我们最终执行查询。

之后,您可以使用bind_result命名变量来接收查询中的字段,就像我所做的那样。

请注意我的查询是如何使用的?这是我们使用bind_paramthis 定义的准备好的语句,以避免 SQL 注入,在您当前的代码中,SQL 注入仍然是可能的,因为您没有清理您的变量。

我相信您正在做的另一个错误是将密码存储为非常错误的纯文本,您应该始终加密密码以保护您的用户和您自己。这就是为什么我不在我的 MySQL 查询中包含密码的原因,我首先只使用用户,如果找到用户,我然后使用他发布的密码来匹配从数据库中检索到的密码,在这种情况下我bcrypt用来做task 是一个非常安全的加密库。

看这里如何使用bcrypt

只有在我看到密码有效之后,我才会将数据放入会话并重定向用户。

除了我在答案底部指出的所有错误之外,这就是我编写代码的方式。

<?php
session_start();
include_once('bcrypt.php');
// Your database info
$db_host = '';
$db_user = '';
$db_pass = '';
$db_name = '';

if (!isset($_POST['Username']))
{
    echo 'Fill in the username...';
    exit;
}

if (!isset($_POST['Password']))
{
    echo 'Fill in your password...';
    exit;
}

$con = new mysqli($db_host, $db_user, $db_pass, $db_name);
if ($con->connect_error)
{
    die('Connect Error (' . $con->connect_errno . ') ' . $con->connect_error);
}

$sql = "SELECT Username, Password FROM `Members` WHERE Username = ?";
if (!$result = $con->prepare($sql))
{
    die('Query failed: (' . $con->errno . ') ' . $con->error);
}

if (!$result->bind_param('s', $_POST['Username']))
{
    die('Binding parameters failed: (' . $result->errno . ') ' . $result->error);
}

if (!$result->execute())
{
    die('Execute failed: (' . $result->errno . ') ' . $result->error);
}

$result->store_result();
if ($result->num_rows == 0)
{
    die('No username found...');
}

$result->bind_result($db_username, $db_password);
$result->fetch();
$result->close();
$con->close();

$bcrypt = new Bcrypt(15);
if ($bcrypt->verify($password, $db_password))
{
    $_SESSION['Username'] = $db_username;
    header('location:login_success.php');
    exit;
}
else
{
    echo 'Wrong Username or Password';
}

注意:上面的代码只是一个例子,没有经过测试,如果你发现它有任何错误,请告诉我。

我在您发布的代码中注意到的一些错误:

你错过;了这里的结束:

$sql = "SELECT * FROM $Members WHERE Username = '$Username' and Password = '$Password'"

同样在您的查询中,您有$Members但您在代码中的任何地方都没有$Members定义变量,您是否打算改为说Members,如:

$sql = "SELECT * FROM `Members` WHERE Username = '$Username' and Password = '$Password'";

这不应该

$count = mysql_num_rows($result);


$count = mysqli_num_rows($result);‌


$result=mysqli_query($sql); 


$result=mysqli_query($sql_connection, $sql);

您对以下部分没有任何疑问mysqli_query

if (!mysqli_query($sql_connection))
于 2013-09-24T01:57:08.643 回答