3

そのため、登録後にアカウントを確認するためのリンクを送信しました。リンクには、ユーザーの電子メール アドレスと 32 文字のコードが含まれています。

                $to      = $email;
                $subject = 'Signup | Verification';
                $message = '

                Thanks for signing up!
                Your account has been created, you can login with the following credentials after you have activated your account by pressing the url below.

                ------------------------
                Username: '.$username.'
                Password: '.$password.'
                ------------------------

                Please click this link to activate your account:
                localhost:8888/website/verify.php?email='.$email.'&hash='.$hash.'
                '; 

                $headers = 'From:myemail@email.com' . "\r\n"; 
                mail($to, $subject, $message, $headers);

すべて正常に動作しているようです。次のようなリンクが記載されたメールを受信して​​います。

http://localhost:8888/website/verify.php?email=myemail@email.com&hash=fe646d38bc2145ca6c3cf77d52820cd0

リンクをたどってアカウントを有効にしようとすると、問題が発生します。Verify.php には問題ありませんが、無効なアプローチが引き続き発生し、検証を 1 に設定できません。

    <?php include "includes/base.php"; ?>

    <?php

        if(isset($_GET['Email']) && !empty($_GET['Email']) AND isset($_GET['Hash']) && !empty($_GET['Hash'])){
            $email = mysql_escape_string($_GET['Email']); 
            $hash = mysql_escape_string($_GET['Hash']); 
            $search = mysql_query("SELECT Email, Hash, Validation FROM users WHERE Email = '".$email."' AND Hash = '".$hash."' AND Validation = 0") or die(mysql_error()); 
            $match  = mysql_num_rows($search);


            if($match > 0){
                mysql_query("UPDATE users SET Validation = 1 WHERE Email = '".$email."' AND Hash = '".$hash."' AND Validation = 0") or die(mysql_error());
                echo "Your account has been activated, you can now login";
            }else{
                echo "The url is either invalid or you already have activated your account.";
            }

        }else{
            echo "Invalid approach, please use the link that has been sent to your email.";
        }


    ?>
4

3 に答える 3

2

1) SQL インジェクションの問題があるため、このコードは安全ではありません。プリペアド ステートメントを使用し てくださいmysql_ *関数はサポートされなくなり、廃止されることに注意してください

2) あなたのコードに関して、あなたの GET リクエストには 'email' と 'hash' がすべて小文字であることがわかりましたが、PHP コードでは $_GET['Email'] と $_GET['Hash'] を使用しています。これを変更する必要があります:

 if(isset($_GET['Email']) && !empty($_GET['Email']) AND isset($_GET['Hash']) && !empty($_GET['Hash'])){
            $email = mysql_escape_string($_GET['Email']); 
            $hash = mysql_escape_string($_GET['Hash']);

これに

 if(isset($_GET['email']) && !empty($_GET['email']) AND isset($_GET['eash']) && !empty($_GET['eash'])){
            $email = mysql_escape_string($_GET['email']); 
            $hash = mysql_escape_string($_GET['eash']);

または、GET リクエストを次のものに変更します。

http://localhost:8888/website/verify.php?Email=myemail@email.com&Hash=fe646d38bc2145ca6c3cf77d52820cd0
于 2013-01-31T10:55:26.587 に答える
0

&に変更Hashします。(大文字ですが、送信するリンクには含まれていません)hashEmailemail

また、URLの値を直接使用してデータベースにクエリを実行しているため、コードはSQLインジェクション攻撃を受けやすくなっています。mysql_real_escape_stringクエリを実行する前に、いくつかの健全性チェックを使用して実行してください。

于 2013-01-31T10:52:20.327 に答える
0

PHPには大文字がありますが、リンクにはありません

$_GET['Email']

verify.php?email=myemail@email.com
于 2013-01-31T11:00:16.703 に答える