2

オライリー出版社が基準を大幅に引き下げたのではないかと考え始めています。私が彼らから入手した最初の 2 冊の PHP の本については触れませんが、この 3 冊目の本もかなり混乱しているようです。

いずれにせよ、ここで問題です。私が取り組んでいる本のプロジェクトでは、本はユーザーデータベースを作成し、そのデータベースに基づいてユーザーがログインできるようにするプログラムを作成するように言っています.これはおそらくこれを達成するコードです:

ユーザー データベースを作成します。

    <?php //setupusers.php
    require_once 'login.php';
    $db_server = mysql_connect($db_hostname, $db_username, $db_password);
    if (!$db_server) die("Unable to connect to MySQL: " . mysql_error());
    mysql_select_db($db_database)
        or die("Unable to select database: " . mysql_error());

    $query = "CREATE TABLE users (
                forename VARCHAR(32) NOT NULL,
                surname  VARCHAR(32) NOT NULL,
                username VARCHAR(32) NOT NULL UNIQUE,
                password VARCHAR(32) NOT NULL
            )";

    $result = mysql_query($query);
    if (!$result) die ("Database access failed: " . mysql_error());

    $salt1 = "qm&h*";
    $salt2 = "pg!@";

    $forename = 'Bill';
    $surname  = 'Smith';
    $username = 'bsmith';
    $password = 'mysecret';
    $token    = md5("$salt1$password$salt2");
    add_user($forename, $surname, $username, $token);

    $forename = 'Pauline';
    $surname  = 'Jones';
    $username = 'pjones';
    $password = 'acrobat';
    $token    = md5("$salt1$password$salt2");
    add_user($forename, $surname, $username, $token);

    function add_user($fn, $sn, $un, $pw)
    {
        $query = "INSERT INTO users VALUES('$fn', '$sn', '$un', '$pw')";
        $result = mysql_query($query);
        if (!$result) die ("Database access failed: " . mysql_error());
    }
    ?>

ユーザーのログインを許可する

<?php // authenticate.php
require_once 'login.php';
$db_server = mysql_connect($db_hostname, $db_username, $db_password);
if (!$db_server) die("Unable to connect to MySQL: " . mysql_error());
mysql_select_db($db_database)
    or die("Unable to select database: " . mysql_error());

if (isset($_SERVER['PHP_AUTH_USER']) &&
    isset($_SERVER['PHP_AUTH_PW']))
{
    $un_temp = mysql_entities_fix_string($_SERVER['PHP_AUTH_USER']);
    $pw_temp = mysql_entities_fix_string($_SERVER['PHP_AUTH_PW']);

    $query = "SELECT * FROM users WHERE username='$un_temp'";
    $result = mysql_query($query);
    if (!$result) die("Database access failed: " . mysql_error());
    elseif (mysql_num_rows($result))
    {
        $row = mysql_fetch_row($result);
        $salt1 = "qm&h*";
        $salt2 = "pg!@";
        $token = md5("$salt1$pw_temp$salt2");

        if ($token == $row[3]) echo "$row[0] $row[1] : 
            Hi $row[0], you are now logged in as '$row[2]'";
        else die("Invalid username/password combination");
    }
    else die("Invalid username/password combination");
}
else
{
    header('WWW-Authenticate: Basic realm="Restricted Section"');
    header('HTTP/1.0 401 Unauthorized');
    die ("Please enter your username and password");
}

function mysql_entities_fix_string($string)
{
    return htmlentities(mysql_fix_string($string));
}   

function mysql_fix_string($string)
{
    if (get_magic_quotes_gpc()) $string = stripslashes($string);
    return mysql_real_escape_string($string);
}
?>

問題は、エラー メッセージが表示されず、ログインが許可されないことです。プログラムが生成するポップアップ ウィンドウにユーザー名とパスワードを入力することはできますが、正しいか間違っているかを問わず、何かを入力しても何も起こりません。「OK」を押すと、ユーザー名とパスワードのフィールドがクリアされます。

私はそれがこの行と関係があると思います:

$query = "SELECT * FROM users WHERE username='$un_temp'";

しかし、私は知りません。

参考までに、ユーザーからのコードを含む sql ファイルを次に示します。

-- MySQL dump 10.13  Distrib 5.1.50, for Win32 (ia32)
--
-- Host: localhost    Database: publications
-- ------------------------------------------------------
-- Server version   5.1.50-community

/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8 */;
/*!40103 SET @OLD_TIME_ZONE=@@TIME_ZONE */;
/*!40103 SET TIME_ZONE='+00:00' */;
/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;

--
-- Table structure for table `users`
--

DROP TABLE IF EXISTS `users`;
/*!40101 SET @saved_cs_client     = @@character_set_client */;
/*!40101 SET character_set_client = utf8 */;
CREATE TABLE `users` (
  `forename` varchar(32) NOT NULL,
  `surname` varchar(32) NOT NULL,
  `username` varchar(32) NOT NULL,
  `password` varchar(32) NOT NULL,
  UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*!40101 SET character_set_client = @saved_cs_client */;

--
-- Dumping data for table `users`
--

LOCK TABLES `users` WRITE;
/*!40000 ALTER TABLE `users` DISABLE KEYS */;
INSERT INTO `users` VALUES ('Bill','Smith','bsmith','be9d31ad4315b2ad9900a8526cd3edb1'),('Pauline','Jones','pjones','b1334d37914cf7561a006f656e27600c');
/*!40000 ALTER TABLE `users` ENABLE KEYS */;
UNLOCK TABLES;
/*!40103 SET TIME_ZONE=@OLD_TIME_ZONE */;

/*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;

-- Dump completed on 2012-12-31 11:38:10

はい、ここのコードの一部が「古い」可能性があることは知っています。

聞いてください。「古い」コードを使用していない PHP の本やチュートリアルを提案したい場合は、ぜひお寄せください。私はこのプログラミング言語を学ぼうとして頭がいっぱいです。

ただし、何かが「古い」コードである場合のトラブルシューティング方法がわからない場合は、「答え」として「古い」と言って時間を無駄にしないでください。コードの特定の行が「古い」または「十分に使用されていない」ためにプログラムが機能しないようにする関数は、どの言語にもありません。これは、コード行が実際に認識されなくなった場合にのみ問題になります。最終的にはもっとよく学ばなければならないと思いますが、今は最初にphpを学ぼうとしています!

4

3 に答える 3

1

問題の本 (Learning PHP, MySQL, JavaScript, and CSS) は、基本認証がすべての Web サーバーで有効になっているわけではないことを明らかにしています。それには十分な理由があります。Web サイトが https を使用しない限り、これは非常に安全ではありません (単純なパケット スニファーは、セッション内の Web 要求からプレーン テキストのユーザー名とパスワードを復元できます)。

Web サーバーで利用できない場合、何も表示されずに失敗します。これは、Web 開発を行う上で難しい (=== 首の痛み) 側面の 1 つです。

Web セキュリティは正しく理解するのが難しいため、独自の認証/承認パッケージを作成する代わりに、有能なコンテンツ管理システム (CMS) の上にシステムを構築することを検討することをお勧めします。これは、WordPress 開発者の 1 人による有益な記事であり、この主題の微妙な点について手がかりとなるはずです。

http://markjaquith.wordpress.com/2006/06/02/wordpress-203-noces/

将来のユーザーにとって、例がうまくいかなかったのは良いことだと思います。コードが機能する場合でも、安全でないソルト アルゴリズムと基本認証の問題があります。

于 2013-01-01T01:10:32.887 に答える
0

@Davidフラストレーションを感じます。事前にデータベースを作成せずに (たとえば、ローカルホスト上の既存のデータベースを参照して) この例を試しましたが、salt アルゴリズムは難しい失敗でした。私にとって、関連するエラー

    $token = md5($salt1$pw$salt2);

つまり$pw 、「予期しない出来事」と呼ばれた場所です。真実ではありませんが、PDO の学習を強制するために意図的にそうしたと考えているようです。

于 2013-03-02T01:51:04.410 に答える
0

サンプルコードをやみくもにコピー/貼り付けして動作することを期待する代わりに、次のことを試してください。

  1. 数行書きます。
  2. テストします。
  3. うまくいかなかったものを修正します。
  4. テストします。
  5. 泡立てて、すすぎ、完了するまで繰り返します。

これは、他の人のコード例を使用する最良の方法であり、独自のオリジナル コードを作成する最良の方法でもあります。

コードでチェックする必要があるいくつかのこと:

  • クエリを mySQL に送信する前に、クエリをエコーし​​て、プログラム ロジックによって正しく形成されていることを確認する必要があります。
  • クエリを実行した後、結果セットが期待値を返したかどうか、または挿入の場合は期待値が適切に挿入されたかどうかを確認する必要があります。

あなたが人々からこれほど多くの批判を受けている理由は、あなたがこのテストを自分で行っていないように見えるからです。私にとっては、通常、15% が執筆、75% がテスト、10% がののしり/飲酒です。

于 2012-12-31T19:41:00.550 に答える