0

这是我的代码

$username = $_POST['user'];
$password = $_POST['pass'];

if (isset($_POST['user'])); {
    $db = mysqli_connect('localhost', 'root', '', 'db');
    if($query = mysqli_query($db, "SELECT `pass` FROM `accounts` WHERE `user` = '$username'")){
      while($row = mysqli_fetch_assoc($query)){
        $row['pass'] = $setpassword;
      }
      mysqli_free_result($query);
    }
}

它当前所做的是从表单中检索用户输入的用户名和密码,获取该用户名并找到具有该用户名的行并从该行获取密码并将其设置为变量 $setpassword。下面是检查密码是否与数据库中给定用户名匹配的代码。

if ($password=='') {
    $verify = 0;
}

if ($password!='') {
    if ($password!=$setpassword) {
        $verify = 1;
    }
    if ($password==$setpassword) {
        $verify = 2;
    }
}

如果验证是... 0 - 登录表单将显示为未输入任何内容。1 - 错误密码将与登录表格一起显示。2 - 将显示正确的密码,并将用户名分配给会话变量。

我遇到了一个问题,用户可以输入一个不存在的用户名和任何密码,无论它是否在数据库中,都会被验证。

我该怎么做才能检查数据库中是否不存在用户名?

4

3 回答 3

2

当您接受用户的注册时,查询数据库以查看它是否已经存在。

$result = mysqli_query("SELECT * FROM accounts where `user` = $username");

if(mysql_num_rows($result) >0) // if there are any rows returned then the username exists
{ 
    //User Name already exists
}
else
{
   //User name doesn't exist, add user
}

我不确定这是你在做什么。但是要消除重复项,您可以这样做。此外,您可以将列用户定义为唯一的。这样 SQL 将不允许重复值。

还有这一行:

$row['pass'] = $setpassword; //setting $row['pass'] to $setpasswords value.

这是相反的。你应该反过来做。

 $setpassword = $row['pass']; //setting setpassword to $row['pass'] value.

如果我需要澄清任何事情,请告诉我。

于 2012-01-06T22:53:54.373 回答
0

尝试这个:

$username = isset($_POST['user'])?$_POST['user']:''; // check if isset to avoid notice
$password = isset($_POST['pass'])?$_POST['pass']:'';
$verify = 0; 

if (!empty($username)) {
    $db = mysqli_connect('localhost', 'root', '', 'db');
    if($query = mysqli_query($db, "SELECT `pass` FROM `accounts` WHERE `user` = '$username'")) { 
    while($row = mysqli_fetch_assoc($query)){
       $setpassword = $row['pass'];
       break; // exit the loop once you found the password
    }
    mysqli_free_result($query);    
} 

if (isset($setpassword)) {
   $verify = 1;       
   if ($password == $setpassword) {
      $verify = 2;
   }
}
于 2012-01-06T23:09:18.350 回答
0 
if (isset($_POST['user'])); {

此行中有一个额外的分号,使整个代码无法正常工作

要进行验证,您只需检索密码并将其与输入的密码进行比较:

$row = mysqli_fetch_assoc($query));
if ($row AND $row['pass'] == $password)
  $verify = 1;
}

注意 $row 可能是空的,所以,你必须先检查它

但是,您可以在查询中进行两种比较,如下所示

"SELECT * FROM accounts where `user` = $username" AND `pass` = '$password';

但是,您的代码存在 2 个常见问题。

  1. 最好保存哈希而不是普通密码。

  2. 应该在将数据添加到查询之前对其进行清理

至少这样:

$username = mysqli_real_escape_string($db,$_POST['user']);
于 2012-01-06T23:15:34.253 回答