0

ログイン、登録ページがあります。登録ページは正常に機能していますが、ログイン ページに問題があります。ログインに成功すると、members.php というページにリダイレクトされるはずですが、代わりに同じページにとどまり、どこにも行きません。問題が発生していると思われるlogin.phpページのコードは次のとおりです。

<?php
mysql_connect("localhost", "user", "pass") or die(mysql_error());
mysql_select_db("db_name") or die(mysql_error());
if (isset($_COOKIE['ID_my_site'])) {
    $username = $_COOKIE['ID_my_site'];
    $pass     = $_COOKIE['Key_my_site'];
    $check = mysql_query("SELECT * FROM users WHERE username = '$username'") or die(mysql_error());
    while ($info = mysql_fetch_array($check)) {
        if ($pass != $info['password']) {
        } else {
            header("Location: members.php");
        }
    }
}
if (isset($_POST['submit'])) { // if form has been submitted
    if (!$_POST['username'] | !$_POST['pass']) {
        die('<h1 class="error"></h1><p>You missed something</p>');
    }
    if (!get_magic_quotes_gpc()) {
        $_POST['email'] = addslashes($_POST['email']);
    }
    $check = mysql_query("SELECT * FROM users WHERE username = '" . $_POST['username'] . "'") or die(mysql_error());
    $check2 = mysql_num_rows($check);
    if ($check2 == 0) {
        die('<h1 class="error"></h1><p>That user does not exist in our database</p>');
    }
    while ($info = mysql_fetch_array($check)) {
        $_POST['pass']    = stripslashes($_POST['pass']);
        $info['password'] = stripslashes($info['password']);
        $_POST['pass']    = md5($_POST['pass']);
        if ($_POST['pass'] != $info['password']) {
            die('<h1 class="error"></h1><p>Incorrect password, please try again</p>');
        } else {
            $_POST['username'] = stripslashes($_POST['username']);
            $hour              = time() + 3600;
            setcookie(ID_my_site, $_POST['username'], $hour);
            setcookie(Key_my_site, $_POST['pass'], $hour);
            header("Location: members.php");
        }
    }
} else {
?> 

<h1 class="login"></h1>

<form action="<?php  echo $_SERVER['PHP_SELF']; ?>" method="post"> 

<p>Username</p><input type="text" class="username" name="username">

<p>Password</p><input type="password" class="password" name="pass">

<div><button type="submit" name="submit" value="Login">Log in</button></div>

</form> 

<?php
}
?>
4

2 に答える 2

0

問題は次の行にある可能性があります。

 if ($pass != $info['password']) {
        }

パスワードが一致しない場合、スクリプトに何もしないように指示します。次のようなメッセージを入れてみてください。

 if ($pass != $info['password'])
 {
    die('invalid login');
 }

それがうまくいかない場合は、ページ全体に echo ステートメントを配置して、実行中に何が起こるかを追跡できるようにします。すなわち、echo 'checking login <br />', echo 'login checked..<br />'など。

別の注意点として、パスワードは必ず暗号化する必要があります。パスワードをプレーン テキストで保存しないでください。そうしないと、Web サイトがハッキングされた場合 (多くの著名人に起こりました)、全員のパスワードがプレーン テキストで保持されます。

また、$usernameクエリ内にそれがどのようにあるかを正確に入力することにより、サイトをsql インジェクションに対して開いたままにすることができます。ハッキングされたくない場合は、それを読むことをお勧めします.

于 2012-04-30T22:52:23.163 に答える