我在这方面很新,所以请帮忙。
我正在做管理面板,一旦我输入了我的电子邮件和密码,它就不会转到我创建的页面(view_users.php)。我正在关注this教程。一切都有效,直到15.47分钟。 这是一个学校项目,没什么太花哨的。 这是代码的php部分:
<?php
error_reporting(E_ALL ^ E_DEPRECATED);
mysql_connect('','','','');
mysql_select_db("");
if(isset($_POST['admin_login'])){
$admin_name = $_POST['admin_name'];
$admin_pass = $_POST['admin_pass'];
$query = "select * FROM admin WHERE admin_name='$admin_name' AND admin_pass='$admin_pass'";
$run = mysql_query($query);
if(mysql_num_rows($run)>0){
echo "<script>windows.open('view_users.php','_self')</script>";
}
else {
echo "<script>alert('Admin details are incorrect!')</script>";
}
}
?>
哦,是的,我确实使用管理员电子邮件创建了表并通过了。
请帮忙。 谢谢!
答案 0 :(得分:0)
将窗口更改为窗口。测试并在我的localhost中工作
echo "<script>window.open('view_users.php','_self')</script>";
答案 1 :(得分:0)
使用windows.open
更改window.open
。 windows.open
不是实际功能。
答案 2 :(得分:0)
尝试window.open
而非windows.open
答案 3 :(得分:0)
问题澄清了它的window.open
不是windows.open
,但此代码中存在循环漏洞。它容易受到sql ingestion的攻击。
如果不是输入密码:
SELECT * FROM users WHERE name='chachhundar' and password='gogo''
您输入密码'或'1'='1:
SELECT * FROM users WHERE admin_name='chachhundar' and admin_pass='' or '1'='1'