1

ユーザー名とパスワードを使用してフォームにログインするhtmlページがあります。人々が正しいパスワードを入力すると、請求書を含む php ページに移動します。パスワードが正しくない場合、エラー メッセージが表示され、プログラムが終了します。ログイン機能が使えるようになりました。ただし、それは私の他のプログラムにも影響を与えています。アイテム/金額の行に何かを書き込もうとするたびに、エラーメッセージが表示されてプログラムが終了します。$numresult>0 条件と関係があることはわかっています。その条件を取り除いたとき、金額/アイテムの行は機能しますが、ログインページでは、ユーザー名/パスワードに空白のエントリを入力してログインすることもできます。人々が正しいパスワードを入力する必要があることを確認する方法はありますか (空白のエントリ) にログインすると同時に、2 ページ目のアイテム/金額の行は通常どおりに動作しますか? 私のコードは以下のとおりです。少し長くてすみません。

</head>

<body style="font-family: Arial, Helvetica, sans-serif; color: black;" onload=>
<h1>My Bills</h1>
<form method=post>

<?php
//*************************************************
//Connect to Database
//*************************************************


//*************************************************
//Verify password and username
//*************************************************
$password = $_POST['password']; //retrieve variables for password and userId
$userid = $_POST['userid'];

$query  = "SELECT * FROM valid_logon WHERE userid = '$userid' AND
           password='$password'";  //get query from database

$result = mysql_query($query);

$numresults = mysql_num_rows($result); //get row number
$row = mysql_fetch_array($result); //get array into variable
$dbuserid = $row['userid'];
$dbpassword = $row['password'];

if ($numresults>0)
{
   if ($userid == $dbuserid && $password == $dbpassword)
   {
       process();
   }   
}else{
   err_msg();
}


//*************************************************
//Error message.
//*************************************************
function err_msg()
{
   print "The username and/or password you have entered are invalid.";
   print "</body>";
   print"</html>";
   exit;
}

//*************************************************
//Write out records with data if they exist.
//*************************************************
function process()
{
  print "<table>";
  print "<tr><th>Item</th><th>Amount</th></tr>";

  $action = $_POST['action'];

  if ($action == 'update')
  {
$write_ctr = 1;

// Delete all rows in the table

$query  = "DELETE FROM n1417_expenses ";

$result = mysql_query($query);

if (mysql_error()) {
    echo("<br>MySQL Error - Cannot delete from table: ".mysql_error());
    echo("<br>SQL Statement: ".$query);
}


// Loop through table and insert values into the database

while (true)
{
    $item_name = 'item'."$write_ctr";
    $item_value = $_POST[$item_name];

    $amount_name = 'amount'."$write_ctr";
    $amount_value = $_POST[$amount_name];

    if (empty($item_value)) 
    {
        break;
    }

    // Insert an item to the table
    if(!is_numeric($amount_value))
    { 
        print "<font color=red>I'm sorry, amount \"".$amount_value."\" is not a valid number.</font><br>\n";
    }else{

        $query  = "INSERT INTO n1417_expenses (item, amount) 
                  VALUES('".$item_value."','".$amount_value."') ";

        $result = mysql_query($query);
    }

    if (mysql_error()) 
    {
        echo("<br>MySQL Error - Cannot insert a row into table: ".mysql_error());
        echo("<br>SQL Statement: ".$query);
    }

    $write_ctr++;
}

 }



//*************************************************
//Now Select from table and Display
//*************************************************

$err_cnt = 0;
$read_ctr = 1;

$query  = "SELECT item, amount FROM n1417_expenses ";

$result = mysql_query($query);

if (mysql_error()) {
echo("<br>MySQL Error- Cannot select from table: ".mysql_error());
echo("<br>SQL Statement: ".$query);
}

if (!empty($result))
{
$rowresults = mysql_num_rows($result);

if ($rowresults > 0)
{
    for ($read_ctr=1; $read_ctr<=$rowresults; $read_ctr++)
    {
        $row = mysql_fetch_array($result);

        $item_value = $row['item'];
        $item_name = 'item'."$read_ctr";

        $amount_value = $row['amount'];
        $amount_name = 'amount'."$read_ctr";

        print "<tr>";
        print "<td><input type=text name=$item_name value='$item_value'></td>\n";
        print "<td><input type=text name=$amount_name value='$amount_value'></td>\n";
        print "<td>";
        print "</tr>";

        $total_amt = $total_amt + $amount_value;

    }
}
}



//*************************************************
//Now write the blank lines
//*************************************************

for ($i = $read_ctr; $i < $read_ctr + 2; $i++)
{

    $item_name = 'item'."$i";
$amount_name = 'amount'."$i";

print '<tr>';
print "<td><input type=text name=$item_name value=''></td>\n";
print "<td><input type=text name=$amount_name value=''></td>\n";
print '</tr>';
}

print "</table>";
print "<br>Total Bills: $total_amt";

}
?>

<br><input type=submit value=Submit>
<br<br>

<!--  Hidden Action Field -->
<input type=hidden name=action value=update>

</form>
4

1 に答える 1

1

投稿された質問に答えるために、ユーザーがフォームを送信するときに、ユーザー名とパスワードが再度チェックされることが問題のようです。フィールドが存在しないため、クエリでゼロ行が検出され、エラー メッセージが表示されます。

問題を解決するにはいくつかの方法があります。1 つの方法は、セッションを使用して、ユーザーがログインしていることを記憶することです。これは、次のようにパスワード チェックを変更することで実装できます。

session_start();

if (!isset($_SESSION['logged_in']) || !$_SESSION['logged_in']) 
{

    $password = $_POST['password']; //retrieve variables for password and userId
    $userid = $_POST['userid'];

    $query  = "SELECT * FROM valid_logon WHERE userid = '".mysql_real_escape_string($userid)."' AND
               password='".mysql_real_escape_string($password)."'";  //get query from database

    $result = mysql_query($query);

    $numresults = mysql_num_rows($result); //get row number
    $row = mysql_fetch_array($result); //get array into variable
    $dbuserid = $row['userid'];
    $dbpassword = $row['password'];

    if ($numresults>0)
    {
       if ($userid == $dbuserid && $password == $dbpassword)
       {
           $_SESSION['logged_in'] = TRUE;
           process();
       }   
    }else{
       err_msg();
    }
}

コードはできる限り元のコードと同じにしてありますが、SQL 呼び出しを保護する必要性については上記のコメントを繰り返します。可能であればPDOの使用を検討するか、少なくとも上記のようにmysql_real_escape_stringの使用を開始してください。

于 2012-05-14T01:48:50.513 に答える