登录脚本所需的PHP帮助
[英]PHP help needed for Login script
问题描述
使用正确的用户名和密码登录时,出现错误“用户名或密码错误”,数据库连接正常,我认为密码+用户名检查有问题。
<?php
$host="mysql12-int.cp.hostnet.nl"; // Host name
$username="u33936_mick"; // username
$password="//password was correct"; // password
$db_name="db33936_axe"; // Database name
$tbl_name="users"; // Table name
mysql_connect("$host", "$username", "$password");
mysql_select_db("$db_name");
$myusername = stripslashes($myusername);
$mypassword = stripslashes($mypassword);
$myusername = mysql_real_escape_string($myusername);
$mypassword = mysql_real_escape_string($mypassword);
$sql = 'SELECT * FROM `users` LIMIT 0, 30 WHERE username="$myusername" and
password="$mypassword"';
$result=mysql_query($sql);
$count=mysql_num_rows($result);
if($count==1){
session_register("username");
session_register("password");
header("location:index.php");
} else {
echo "Wrong Username or Password";
}
?>
这是我的表格
<form name="login" method="post" action="login.php">
<fieldset id="inputs">
<input id="myusername" type="text" name="myusername"
placeholder="Username" required="">
<input id="mypassword" type="password" name="mypassword"
placeholder="Password" required="">
</fieldset>
<fieldset id="login.php">
<input type="submit" id="submit" value="Login">
</style>
</fieldset>
</form>
2 个解决方案
解决方案1
7 已采纳 2013-06-27 20:48:48
最重要的是,我建议您着眼于从不推荐使用的mysql_*函数系列过渡到mysqli ( docs )或PDO( docs ),这两者都不需要对代码进行任何重大更改。
至于您的特定错误,看来您是在错误地将值连接到查询中。 另外,您的WHERE和LIMIT顺序不正确且无效的SQL。 这是正确的形式:
$sql = '
SELECT
*
FROM
`users`
WHERE
username="'.$myusername.'" AND
password="'.$mypassword.'"
LIMIT 0, 30
';
尚不清楚使用LIMIT语句会带来什么好处。 您应该有一个匹配的行,或者没有。 如果有的话,我将使用LIMIT 1 。 如果您退回30行,您将如何处理它们?
转换为PDO很容易! PDO中的相同查询如下所示:
$host="mysql12-int.cp.hostnet.nl"; // Host name
$username="u33936_mick"; // username
$password="//password was correct"; // password
$db_name="db33936_axe"; // Database name
$pdo = new PDO('mysql:host='.$host.';dbname='.$db_name, $username, $password);
$sth = $pdo->prepare('
SELECT
*
FROM
`users`
WHERE
username=:username AND
password=:password
LIMIT 0, 30
');
$sth->execute(array('username'=>$myusername, 'password'=>$mypassword));
$user = $sth->fetch();
请注意,当您使用带有绑定参数的PDO(如此处所示)时, addSlashes像在代码中那样对mysql_real_escape_string或addSlashes进行清理。
目前尚不清楚您在哪里定义$mypassword和$myusername ,但是如果您使用注册的全局变量,则应该更改代码。 直接从$_POST获取值。 addSlashes是不安全的,也不是已注册的全局变量。
文献资料
- 弃用通知
mysql_*功能- http://www.php.net/manual/en/function.mysql-query.php - PHP字符串运算符-http://php.net/manual/zh/language.operators.string.php
- PHP PDO- http://php.net/manual/zh/book.pdo.php
- PHP
mysqli- http://php.net/manual/zh/book.mysqli.php
解决方案2
2 2013-06-27 20:50:20
一些问题:
- 您应该使用
$_POST['myusername']等获取发布的变量。 如果您依赖register_globals,则应将其关闭,因为它已过时且存在安全风险; -
LIMIT子句位于mysql的末尾; - 您不应该使用诸如
stripslashes和转义函数之类的stripslashes来修改发送的信息,而应该在PDO / mysqli中使用带有绑定变量的准备好的语句,因为不建议使用mysql_*函数,并且密码可以包含例如斜杠。
附带说明一下,您应该对密码进行加密和哈希处理,不要在数据库中存储纯文本密码。
PHP 登录系统需要帮助
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.