我尝试编写一个简单的注册和登录代码,但我在登录文件中遇到了问题。
login.php -
<?php
session_start();
include"header.php";
include"config.php";
connect();
if(isset($_POST['login'])){
if(isset($_SESSION['uid'])){
echo"you are already logged in";
}else{
$username = protect($_POST['username']);
$password = protect($_POST['password']);
$login_check = mysql_query("SELECT `id` FROM `users` WHERE `username` = '$username' AND `password` = '".md5($password)."' ") or die (mysql_error());
echo $login_check;
if(mysql_num_rows($login_check) == 0){
echo"invalid login password";
}else{
$get_id = mysql_fetch_assoc($login_check);
$_SESSION['uid']=$get_id['id'];
header("Location: main.php");
}
}
}else{
echo"u need to log in";
}
/* */
include"footer.php";
?>
当我尝试这段代码时没有错误,但我总是得到:“登录密码无效”。
如果我尝试仅使用用户名从id选择users,则可以正常工作并将我转到main.php。
这是我的Config.php和表单。
config.php -
<?php
function connect(){
mysql_connect("localhost","root","");
mysql_select_db("game2");
}
function protect($string){
return mysql_real_escape_string(strip_tags(addslashes($string)));
}
?>
来自header.php的表单:
<form action="login.php" method="POST">
Username:<input type="text" name="username"/><br />
Password:<input type="password" name="password"/><br />
<input type="submit" name="login" value="login"/>
</form>
更新: 所以我跟着Marc B回答,我认为我的register.php文件一定有问题。 首先我注意到无论我写入密码输入,表中每个ID的哈希都是相同的。 所以我甚至切断了protect()和md5部分,我看到无论我写什么密码,表中的密码都会有空白点。用户名和电子邮件进入表格就好了。 register.php -
<?php
session_start();
include"header.php";
?>
<?php
include("config.php");
connect();
?>
Rejestracja:
<br />
<?php
if (isset($_POST['register'])){
$username = protect($_POST['username']);
$password = protect($_POST['password']);
$email = protect($_POST['email']);
if($username=="" || $password="" || $email == ""){
echo"Wypelnij wszystkie pola";
}elseif(strlen($username) > 20){
echo"Nazwa musi miec max 20 znaków !";
}elseif(strlen($email) > 50){
echo"Email musi miec max 50 znakow!";
}else{
$register1 = mysql_query("SELECT `id` FROM `users` WHERE `username`='$username'") or die(mysql_error());
$register2 = mysql_query("SELECT `id` FROM `users` WHERE `email`='$email'") or die(mysql_error());
if(mysql_num_rows($register1) > 0){
echo"Jest juz taki uzytkownik!";
}elseif (mysql_num_rows($register2) > 0){
echo"email jest juz zajety";
}else{
$insertstats = mysql_query("INSERT INTO `stats` (`gold`,`attack`,`defense`,`food`) VALUES (100,5,5,100)") or die(mysql_error()) ;
$insertunits = mysql_query("INSERT INTO `units` (`worker`,`farmer`,`warrior`,`defender`) VALUES (5,5,5,10)") or die(mysql_error()) ;
$insertweapons = mysql_query("INSERT INTO `weapons` (`sword`,`shield`) VALUES (5,5)") or die(mysql_error()) ;
$insertusers = mysql_query("INSERT INTO `users` (`username`,`password`,`email`) VALUES ('$username','".md5($password)."','$email')") or die(mysql_error()) ;
echo"Zarejestrowales sie";
}
}
}
?>
<br />
<form action="register.php" method="POST">
Nazwa uzytkownika:<input type="text" name="username"/><br />
Haslo:<input type="password" name="password"/><br />
E-mail:<input type="text" name="email"/><br />
<input type="submit" name="register" value="Register" /><br />
</form>
<?php
include"footer.php";
?>
好吧我发现了我的错误...如果($ username ==“”|| $ password =“”|| $ email ==“”)我真傻。感谢有关改进代码的所有建议。对不起,麻烦。
答案 0 :(得分:2)
您没有正确比较您的密码。你是sql转义它们那么做md5哈希,这意味着添加到密码的任何转义都将成为哈希的一部分。
e.g。
$foo = 'password with " quote';
$hashed_foo = md5($foo); // e938052104fd22cbdf0c822065557f09
$escaped_foo = addslashes($foo);
$hashed_escaped_foo = md5($foo); // b144a3e7ad3ea3fd4ae6ade0aa49a9b9
注意两个哈希值是如何变化的。如果你手动md5了原始密码,那么你将永远无法获得匹配,因为你的转义是在变换哈希之前改变原始字符串,这意味着哈希将始终与原始未转义字符串不同