echo“<script> windows.open('view_users.php','_ self')</script>”; - 不管用

时间:2015-06-23 12:32:36

标签: php

我在这方面很新,所以请帮忙。

我正在做管理面板,一旦我输入了我的电子邮件和密码,它就不会转到我创建的页面(view_users.php)。我正在关注this教程。一切都有效,直到15.47分钟。 这是一个学校项目,没什么太花哨的。 这是代码的php部分:

<?php
error_reporting(E_ALL ^ E_DEPRECATED);
mysql_connect('','','','');
mysql_select_db("");

if(isset($_POST['admin_login'])){

$admin_name = $_POST['admin_name'];
$admin_pass = $_POST['admin_pass'];

$query = "select * FROM admin WHERE admin_name='$admin_name' AND admin_pass='$admin_pass'";

$run = mysql_query($query);
if(mysql_num_rows($run)>0){
echo "<script>windows.open('view_users.php','_self')</script>";

}

else {
    echo "<script>alert('Admin details are incorrect!')</script>";
}
}

?>

哦,是的,我确实使用管理员电子邮件创建了表并通过了。

请帮忙。 谢谢!

4 个答案:

答案 0 :(得分:0)

将窗口更改为窗口。测试并在我的localhost中工作


echo "<script>window.open('view_users.php','_self')</script>";

答案 1 :(得分:0)

使用windows.open更改window.openwindows.open不是实际功能。

答案 2 :(得分:0)

尝试window.open而非windows.open

答案 3 :(得分:0)

问题澄清了它的window.open不是windows.open,但此代码中存在循环漏洞。它容易受到sql ingestion的攻击。

如果不是输入密码:

SELECT * FROM users WHERE name='chachhundar' and password='gogo''

您输入密码'或'1'='1:

 SELECT * FROM users WHERE admin_name='chachhundar' and admin_pass='' or '1'='1'
相关问题
最新问题