1

我已经建立了一个内部站点来登录几个用户,用户不会改变,密码只能由授权的人完成。

所以我需要一些非常简单的东西,并且尽可能不使用数据库。

所以我制作了以下脚本,效果很好,除了我的一个测试人员试图在两个字段都为空的情况下登录......并且它有效?

想不通。

登录

    <form id="slick-login" action="_login_action.php" method="post">
<label for="username">Username</label>
<input type="text" name="username" class="placeholder" placeholder="username"/>
<label for="password">Password</label>
<input type="password" name="password" class="placeholder" placeholder="password"/>

<input type="submit" value="Login" />

_login_action.php

    <?php
$usernames = array("admin", "user", "guest", "input");
$passwords = array("admin123", "user123", "guest123", "input123");
$page = "index.php";
for($i=0;$i<count($usernames);$i++){
  $logindata[$usernames[$i]]=$passwords[$i];
}
if($logindata[$_POST["username"]]==$_POST["password"]){
session_start();
$_SESSION["username"]=$_POST["username"];
header('Location: '.$page);
exit;
}else{
header('Location: login.php?wrong=1');
exit;
}
?>

这是我在需要保护的页面上包含的文件;

<?php
session_start();
if(!isset($_SESSION["username"])&& !empty($_SESSION['username'])){
header('Location: login.php');
exit;
}
?>

谁能帮帮我?

4

1 回答 1

0

还需要一项检查:

if(!empty($_POST["username"]) && $logindata[$_POST["username"]]==$_POST["password"])
于 2013-10-03T16:59:53.467 回答