我目前正致力于注册系统并遇到了一些问题 我之前会先粘贴代码的简化版本:
session_start();
if (isset($_SESSION['logged_in'])) {
header('Location: #notLoggedIn');
exit;
} else {
if ($_SERVER["REQUEST_METHOD"] == "POST") {
if //if field is empty {
//display error
} else if //check if any unallowed characters {
//display another error
} else {
//give the checked input a string/variable, ex: $name= ($_POST["name"]);
}
// Like 4-5 other checks running in the same way as above
}
$query = $pdo->prepare('INSERT INTO table (a, b, c, d, e) VALUES (?,?,?,?,?)');
$query->bindValue(1, $1);
$query->bindValue(2, $2);
$query->bindValue(3, $3);
$query->bindValue(4, $4);
$query->bindValue(5, $5);
$query->execute();
header('Location: index.php');
exit;
}
问题在于它一次运行所有内容,只是将我重定向到index.php 如何在运行之前提交表单,如何确保首先检查 之后,我希望它检查所有字段中的任何错误。如果有错误,请停止 但如果没有错误,只需继续并上传到我的数据库。
我确实认为我处在一个良好的道路上,但目前相当困难,任何帮助或推动正确的方向都会很棒!
谢谢!
答案 0 :(得分:0)
你的问题不是很清楚,你的代码也不完整(表格在哪里?) 您似乎处于学习表单处理的早期阶段,并且在您提出具体问题之前可能会从进一步阅读和测试中受益。
以下是一些先行者:
http://en.wikipedia.org/wiki/Post/Redirect/Get
What's the best method for sanitizing user input with PHP?
The definitive guide to form-based website authentication
无论如何,我会提供一些信息,因为有空闲时间。
例如,您的第一个if检查是否设置了会话,如果TRUE重定向到notLoggedIn。你确定这是故意的吗?要么他们已经登录,要么回复消息以适应或不是,所以显示注册页面(大多数网站在同一页面上显示登录和注册,以方便所有场景)。
由于这是一个注册表,当然你的意思是如果IS登录然后重定向到YouAreAlreadyLoggedIn?
事实上,我只是退出一条消息“你已经登录”,然后停止脚本。
问题在于它一次运行所有内容,只是将我重定向到index.php。
那是因为它没有其他选项,因为在XYZ之后脚本结束时它会重定向到index.php。
如果您不希望它执行此操作,请更改它。要么不重定向,要更有建设性地处理整个过程,要么在某些时候退出(比如表单错误)。
如果在运行之前已提交表单,我该如何确保首先检查它。
我没有看到表格,所以不知道你在做什么建议。
理想情况下,您使用PRG(重定向后获取) http://en.wikipedia.org/wiki/Post/Redirect/Get
我编辑了你的脚本,使其成为问题的答案,然后整理了一下。
e.g。在您的脚本中,特别是在顶部,您不需要else,因为exit()中有if。当if返回true时,脚本将停止,否则(有或没有else)它将继续。
代码:
session_start();
if (isset($_SESSION['logged_in']))
{
exit('You are already logged in');
}
if ($_SERVER["REQUEST_METHOD"] == "POST")
{
if ( strlen($POST['field_name']) < 4 )
{
exit('Minimum 4 chars required');
}
elseif ( strlen($POST['field_name']) > 20 )
{
exit('Max of 20 chars allowed');
}
elseif ( preg_match("/^[A-z0-9]+$/", $POST['field_name']) != 1 )
{
exit('Invalid chars - allowed A-z and 0-9 only');
}
else
{
// Not sure what you want here
// If all ok (no errors above)
// then sanatise the data and insert into DB
}
}
至于进入数据库,在只允许运行数据库之前,您需要更多地检查和处理整个过程。
不确定为什么要重定向到index.php。然后,您需要在index.php中处理表单提交结果,以告知用户您已注册。 在表单页面上,告诉他们他们在字段中的错误,或者回显成功消息以及接下来会发生什么(即转到您的帐户页面,或者(希望)确认您在登录前发送的电子邮件)。
对于POSTed表单数据中的验证检查,完全由您决定。但是我已经给你一些非常基本的东西了。确保表单中的最大集合与数据库列允许值匹配,或者如果(例如)DB varchar设置为15并且您允许用户输入20,则他们输入的数据将被截断,并且它们将注册,但永远不会能够登录(或其他一些数据将被破坏,他们的名字/用户名等)。
答案 1 :(得分:0)
感到无聊。这不适用于互联网点。
<?php
// create table user (userid int auto_increment primary key, username varchar(60), password varchar(60));
// alter table user add constraint uc_user_username unique (username);
var_dump($_POST);
$user = isset($_POST['username']) ? trim($_POST['username']) : '';
$pass = isset($_POST['password']) ? trim($_POST['password']) : '';
$pass2 = isset($_POST['confirm']) ? trim($_POST['password2']) : '';
$action = isset($_POST['action_type']) ? $_POST['action_type'] : '';
if (empty($_POST)) {
// nothing posted
}
else {
if (empty($user)) {
error('you did not provide a username');
}
elseif (empty($pass)) {
error('you did not provide a password');
}
else {
$mysqli = mysqli_connect('localhost','root','','test')
or die('Error ' . mysqli_error($link));
if ($action=='new_user') {
$userdata = get_user_info($mysqli,$user);
if ($userdata) {
error('user already exists');
}
else {
$validpass = validate_password($pass);
if ($validpass && $pass==$pass2){
if (make_new_user($mysqli,$user,$pass)) {
print "<br/>new user created<br/><br/>";
}
}
else error('passwords did not match');
}
}
elseif ($action=='login_user') {
$verified = verify_credentials($mysqli,$user,$pass);
if ($verified) {
print "<br/>user logged in<br/><br/>";
}
}
elseif ($action=='update_pass') {
$verified = verify_credentials($mysqli,$user,$pass);
$validpass = validate_password($pass);
if ($verified && $validpass && $pass!=$pass2) {
if (update_password($mysqli,$user,$pass,$pass2)) {
print "<br/>new user created<br/><br/>";
}
}
else error('cannot update to same password');
}
$mysqli->close();
}
}
function error($message) {
print "<br/>$message<br/><br/>";
}
function update_password($mysqli,$user,$pass,$pass2) {
$hash = password_hash($pass, PASSWORD_BCRYPT);
$stmt = $mysqli->prepare('update user set password = ? where username = ?');
$stmt->bind_param('ss',$user,$hash);
$stmt->execute();
$msql_error = $mysqli->error;
$updated = !(empty($msql_error));
error($msql_error); // for debugging only
return $updated;
}
function make_new_user($mysqli,$user,$pass) {
$userid = false;
$hash = password_hash($pass, PASSWORD_BCRYPT);
$stmt = $mysqli->prepare('insert into user (username,password) values (?,?)');
$stmt->bind_param('ss',$user,$hash);
$stmt->execute();
$msql_error = $mysqli->error;
if (empty($msql_error)) {
$userid = $mysqli->insert_id;
}
else error($msql_error); // for debugging only
return $userid;
}
// really, this should be done with javascript instantaneously
function validate_password($pass) {
$error = false;
if (strlen($pass) < 8) {
error('please enter a password with at least 8 characters');
}
elseif (!preg_match('`[A-Z]`', $pass)) {
error('please enter at least 1 capital letter');
}
else $error = true;
return $error;
}
function verify_credentials($mysqli,$user,$pass) {
$row = get_user_info($mysqli,$user);
$verified = false;
if ($row) {
if (password_verify($pass, $row['pass'])) {
$verified = true;
}
}
else error('username and password did not match');
return $verified;
}
function get_user_info($mysqli,$user) {
$row = array();
$stmt = $mysqli->prepare('select userid, username, password
from user
where username = ?');
$stmt->bind_param('s',$user);
$stmt->execute();
$stmt->bind_result($row['userid'],$row['user'],$row['pass']);
if (!$stmt->fetch()) $row = false;
$stmt->close();
return $row;
}
?>
<body>
<form action='?' method='post'>
<table id='input_table'>
<tr><td><span>username </span></td><td><input id='username' name='username' type='text' value='<?php echo $user ?>'></td></tr>
<tr><td><span>password </span></td><td><input id='password' name='password' type='text' value='<?php echo $pass ?>'></td></tr>
<tr><td><span>password2</span></td><td><input id='password2' name='password2' type='text' value='<?php echo $pass2 ?>'></td></tr>
<tr><td> </td><td> </td></tr>
<tr><td colspan=2>this just picks the action for testing... you wouldn't keep it around</td></tr>
<tr><td><input type='radio' name='action_type' value='new_user' <?php echo $action=='new_user'?'checked':'' ?>>New User</td></tr>
<tr><td><input type='radio' name='action_type' value='login_user' <?php echo $action=='login_user'?'checked':'' ?>>Logging In</td></tr>
<tr><td><input type='radio' name='action_type' value='update_pass' <?php echo $action=='update_pass'?'checked':'' ?>>New Password</td></tr>
<tr><td> </td><td> </td></tr>
<tr><td colspan=2><input id='submit' name='submit' type='submit'/></td></tr>
</form>
</body>
答案 2 :(得分:-1)
// error = 0 means no error found you can continue to upload...
if ($_FILES['file']['error'] == 0) {
}
以下是解释的所有错误:http://php.net/manual/en/features.file-upload.errors.php
UPLOAD_ERR_OK价值:0;没有错误,文件上传成功。
UPLOAD_ERR_INI_SIZE价值:1;上传的文件超过了 php.ini中的upload_max_filesize指令。
UPLOAD_ERR_FORM_SIZE价值:2;上传的文件超过了 在HTML表单中指定的MAX_FILE_SIZE指令。
UPLOAD_ERR_PARTIAL价值:3;上传的文件仅部分上传。
UPLOAD_ERR_NO_FILE价值:4;没有上传文件。
UPLOAD_ERR_NO_TMP_DIR价值:6;缺少临时文件夹。在PHP 5.0.3中引入。
UPLOAD_ERR_CANT_WRITE价值:7;无法将文件写入磁盘。在PHP 5.1.0中引入。
UPLOAD_ERR_EXTENSION价值:8; PHP扩展程序停止了该文件 上传。 PHP没有提供确定导致哪个扩展的方法 文件上传停止;检查加载的扩展名列表 phpinfo()可能有所帮助。在PHP 5.2.0中引入。
验证输入字段
if(empty($_POST['name'])&&empty($_POST['password'])){
//fields empty show error here
}else if (is_numeric($username[0])){
echo 'First character must be a letter';
}
else if (!preg_match('/^[a-zA-Z0-9]+$/', $username)) {
echo 'Only letters and numbers are allowed';
}else if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
echo 'Invalid email address.';
}else if(!preg_match("/^[\pL\s,.'-]+$/u", $name)) {
echo 'Invalid name.';
}