我们有一个由php和ajax处理的登录表单。 ajax向用户名和密码发送请求到php页面。它会得到一个响应,如果它是正确的和工作信息,它会将它们记录在:
接受请求的php页面包含以下代码:
echo (checkLogin($_POST['user'], $_POST['pass']) ? 'true' : 'false');
if(checkLogin($_POST['user'], $_POST['pass']) == true)
logIn($_POST['user'], $_POST['pass']);
该声明中使用的函数:
function logIn($user, $pass)
{
$_SESSION['sid'] = md5(md5($user) . md5($pass));
$_SESSION['username'] = $user;
$_SESSION['password'] = $pass;
}
function checkLogin($user, $pass)
{
$user = strtolower($user);
$pass = strtolower($pass);
$res = mysql_query("SELECT * FROM users WHERE username='".$user."'");
if(mysql_num_rows($res) == 1)
{
$data = mysql_fetch_assoc($res);
if($data['pass'] == aCrypt($pass))
{
return true;
}
else
{
return false;
}
}
else
{
return false;
}
}
现在,似乎会话已启动,只有在用户重新加载页面后才能看到。我们需要它在页面上启动会话...我们需要用ajax刷新整个页面吗?我真的不知道从哪里开始。
答案 0 :(得分:0)
您可能想要使用Post-Redirect-Get模式;用户成功通过身份验证后,使用重定向将其发送到新页面。
如上所述,请查看修复代码中的SQL注入和会话修复漏洞。