我开始怀疑Oreily出版社是否严重降低了标准或其他东西。我甚至不打算进入我从他们那里得到的前两本PHP书籍,但是这第三本书看起来也很混乱了。
无论如何,这是问题所在。在我正在编写的书的项目中,该书说要创建一个用户数据库,然后创建一个基于该数据库的程序,允许用户登录。以下是可以实现此目的的代码:
创建用户数据库:
<?php //setupusers.php
require_once 'login.php';
$db_server = mysql_connect($db_hostname, $db_username, $db_password);
if (!$db_server) die("Unable to connect to MySQL: " . mysql_error());
mysql_select_db($db_database)
or die("Unable to select database: " . mysql_error());
$query = "CREATE TABLE users (
forename VARCHAR(32) NOT NULL,
surname VARCHAR(32) NOT NULL,
username VARCHAR(32) NOT NULL UNIQUE,
password VARCHAR(32) NOT NULL
)";
$result = mysql_query($query);
if (!$result) die ("Database access failed: " . mysql_error());
$salt1 = "qm&h*";
$salt2 = "pg!@";
$forename = 'Bill';
$surname = 'Smith';
$username = 'bsmith';
$password = 'mysecret';
$token = md5("$salt1$password$salt2");
add_user($forename, $surname, $username, $token);
$forename = 'Pauline';
$surname = 'Jones';
$username = 'pjones';
$password = 'acrobat';
$token = md5("$salt1$password$salt2");
add_user($forename, $surname, $username, $token);
function add_user($fn, $sn, $un, $pw)
{
$query = "INSERT INTO users VALUES('$fn', '$sn', '$un', '$pw')";
$result = mysql_query($query);
if (!$result) die ("Database access failed: " . mysql_error());
}
?>
允许用户登录
<?php // authenticate.php
require_once 'login.php';
$db_server = mysql_connect($db_hostname, $db_username, $db_password);
if (!$db_server) die("Unable to connect to MySQL: " . mysql_error());
mysql_select_db($db_database)
or die("Unable to select database: " . mysql_error());
if (isset($_SERVER['PHP_AUTH_USER']) &&
isset($_SERVER['PHP_AUTH_PW']))
{
$un_temp = mysql_entities_fix_string($_SERVER['PHP_AUTH_USER']);
$pw_temp = mysql_entities_fix_string($_SERVER['PHP_AUTH_PW']);
$query = "SELECT * FROM users WHERE username='$un_temp'";
$result = mysql_query($query);
if (!$result) die("Database access failed: " . mysql_error());
elseif (mysql_num_rows($result))
{
$row = mysql_fetch_row($result);
$salt1 = "qm&h*";
$salt2 = "pg!@";
$token = md5("$salt1$pw_temp$salt2");
if ($token == $row[3]) echo "$row[0] $row[1] :
Hi $row[0], you are now logged in as '$row[2]'";
else die("Invalid username/password combination");
}
else die("Invalid username/password combination");
}
else
{
header('WWW-Authenticate: Basic realm="Restricted Section"');
header('HTTP/1.0 401 Unauthorized');
die ("Please enter your username and password");
}
function mysql_entities_fix_string($string)
{
return htmlentities(mysql_fix_string($string));
}
function mysql_fix_string($string)
{
if (get_magic_quotes_gpc()) $string = stripslashes($string);
return mysql_real_escape_string($string);
}
?>
麻烦的是,我从来没有得到错误消息,我永远不会被允许登录。我可以在程序生成的弹出窗口中输入用户名和密码,但是没有任何事情因输入任何内容而发生,更正或不正确。当我点击“确定”时,用户名和密码字段就会被清除。
我怀疑这与这一行有关:
$query = "SELECT * FROM users WHERE username='$un_temp'";
但我不知道。
仅供参考,这是一个包含用户代码的sql文件。
-- MySQL dump 10.13 Distrib 5.1.50, for Win32 (ia32)
--
-- Host: localhost Database: publications
-- ------------------------------------------------------
-- Server version 5.1.50-community
/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8 */;
/*!40103 SET @OLD_TIME_ZONE=@@TIME_ZONE */;
/*!40103 SET TIME_ZONE='+00:00' */;
/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;
--
-- Table structure for table `users`
--
DROP TABLE IF EXISTS `users`;
/*!40101 SET @saved_cs_client = @@character_set_client */;
/*!40101 SET character_set_client = utf8 */;
CREATE TABLE `users` (
`forename` varchar(32) NOT NULL,
`surname` varchar(32) NOT NULL,
`username` varchar(32) NOT NULL,
`password` varchar(32) NOT NULL,
UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
/*!40101 SET character_set_client = @saved_cs_client */;
--
-- Dumping data for table `users`
--
LOCK TABLES `users` WRITE;
/*!40000 ALTER TABLE `users` DISABLE KEYS */;
INSERT INTO `users` VALUES ('Bill','Smith','bsmith','be9d31ad4315b2ad9900a8526cd3edb1'),('Pauline','Jones','pjones','b1334d37914cf7561a006f656e27600c');
/*!40000 ALTER TABLE `users` ENABLE KEYS */;
UNLOCK TABLES;
/*!40103 SET TIME_ZONE=@OLD_TIME_ZONE */;
/*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;
-- Dump completed on 2012-12-31 11:38:10
是的,我知道这里的某些代码可能是“老”。
请听我说。如果你想建议一本不使用“旧”代码的PHP书籍或教程,请做。我正试着学习这种编程语言。
然而,如果你只是不知道如何麻烦拍摄其中的“旧”代码,请不要浪费我的时间告诉我它“老”作为“答案”。任何语言中都没有强制程序无法工作的功能,因为某段代码是“旧”或“未充分利用”。只有在代码行实际上不再被识别时才重要。我想最终我必须学得更好,但是现在我正试着在第一个地方学习php!
答案 0 :(得分:1)
这本书(学习PHP,MySQL,JavaScript和CSS)清楚地表明并未在所有Web服务器上启用基本身份验证。这是有充分理由的;除非您的网站使用https(一个简单的数据包嗅探器可以从会话中的任何Web请求中恢复纯文本用户名和密码),这是不可能的不安全。
如果您的网络服务器上没有它,那么事情就会无声地失败。这是进行Web开发的一个挑战性问题(= =颈部疼痛)。
网络安全很难做到正确,您可能需要考虑在合格的内容管理系统(CMS)之上构建系统,而不是创建自己的身份验证/授权包。这是WordPress开发人员的一篇有用的文章,应该让您了解该主题的一些细微之处。
http://markjaquith.wordpress.com/2006/06/02/wordpress-203-nonces/
我想这对你未来的用户来说是件好事,这个例子不适合你。即使代码有效,它也有一个不安全的salt算法以及Basic Auth问题。
答案 1 :(得分:0)
不要盲目地复制/粘贴示例代码并期望它能够工作,而是尝试以下方法:
这是使用其他人的示例代码的最佳方式,也是编写自己原始代码的最佳方式。
您应该在代码中检查一些事项:
你得到这么多人的原因是你自己似乎没有做过这样的测试,这就是我们大部分时间都在用我们自己的代码做的事情。对我来说,通常是15%的写作,75%的测试,10%的诅咒/饮酒。
答案 2 :(得分:0)
$token = md5($salt1$pw$salt2);
即$pw
被称为“意外发生”。不是真的,但是我很想我们这样做的目的是迫使我们去学习PDO。