我遇到了这个奇怪的问题。我想创建一个使用用户名来识别应显示哪些内容的页面。它似乎工作正常,除了一件事。在一个特定页面上从会话中读取错误的值。我已在浏览器中检查了会话值,但值似乎是正确的。我会告诉你代码:
这是我的登录功能,使用php:
<?php
//CONNECT TO DATABASE
$db = mysqli_connect("localhost","root","MyPassword","MyDBName");
if($db->connect_errno){
die('connection error: ' . $db->connect_errno);
}
//CHECK IF LOGIN DATA IS SUBMITTED AND IS CORRECT
if(isset($_POST['action'])){
switch($_POST['action']){
case "login":
$pw = $_POST['pw'];
$loginUn = $db->real_escape_string($_POST['loginUn']);
$result = mysqli_query($db,"SELECT `Password` FROM `accounts` WHERE `Username`='" .$loginUn. "'");
if(mysqli_num_rows($result) != 0){
$dbpw = $result->fetch_object();
$VI = explode("-",$dbpw->Password);
$dbpw = openssl_decrypt($VI[1],"blowfish","",0,$VI[0]);
if($pw == $dbpw){
$login = true;
$_SESSION['login'] = true;
$_SESSION['Username'] = $_POST['loginUn'];
$un = $_POST['loginUn'];
}
}
break;
case "logout":
$_SESSION['login'] = false;
$_SESSION['Username'] = "";
break;
}
}else{
if(isset($_SESSION['login'])){
$login = $_SESSION['login'];
$un = $_SESSION['Username'];
}
}
?>
它似乎工作正常,因为它在使用的页面中工作。 我在数据库中创建了一些虚拟帐户,其中包含以下用户名:Admin和User。 这是它出错的页面代码:
PHP:
//THIS IS NOT THE SAME PAGE AS THE PREVIOUS PHP CODE
$login = false; //CHECK IF USER HAS LOGGED IN
$un = "";
if(isset($_SESSION['login'])){
$login = $_SESSION['login']; //IF LOGGED IN SET TO SESSION VALUE
$un = $_SESSION['Username']; //SET $UN TO USERNAME IN SESSION
}
然后我使用javascript和php来警告变量包含的值:
<script type="text/javascript">
alert("$un = <?php echo $un;?>");
</script>
使用login变量似乎没有问题,因为它具有良好的值,但变量$ un是错误的。当我没有登录时,它没有值,这是正确的,但是当我登录时,它包含值Admin,即使我没有使用Admin登录。在浏览器选项中,cookie值似乎是正确的。我已经检查了每个页面上的cookie,它工作得很好,只是不在这个页面上。我做错了什么使得浏览器(顺便说一句是firefox)认为它总是登录管理员?
答案 0 :(得分:1)
如前面评论中所述,您的脚本存在许多安全风险。
您应该查看PHP的sessions来构建您的登录信息。使用会话时,只有一个存储ID的cookie,所有数据都将存储在您的服务器上,用户无法修改。
“管理员”保留为Cookie值的问题可能是缓存问题。
答案 1 :(得分:0)
我刚刚发现了我做错了什么。我发现一段不相关的代码,错过了=所以变量没有被比较,但设置为这个错误的值。