我正在尝试实现一个适用于 3 个 PHP 文件的 PHP 登录脚本。当使用正确的用户名和密码时,脚本工作正常,当提供错误的信息时,脚本甚至会阻止访问。我的问题是,当您按下表单上的提交按钮并且不插入用户名或密码时,脚本允许访问。
第一个脚本是这样的:
<form action="login2.php" method="post">
Usuario:<br />
<input type="text" name="username" class="formtext" />
Contraseña:<br />
<input type="password" name="password" class="formtext" />
<input type="submit" value="Ingresar" class="formbutton" />
</form>
如您所见,表单访问"login2.php",如下所示:
<?php
$usernames = array("user1", "user2", "user3", "superman");
$passwords = array("test", "pass2", "password3", "supermans password");
$page = "noticias.php";
for($i=0;$i<count($usernames);$i++){
$logindata[$usernames[$i]]=$passwords[$i];
}
if($logindata[$_POST["username"]]==$_POST["password"]){
session_start();
$_SESSION["username"]=$_POST["username"];
header('Location: '.$page);
exit;
}else{
header('Location: login.php?wrong=1');
exit;
}
?>
最后,我尝试限制访问的页面在顶部添加了以下代码,以确保用户已登录:
<?php require("login3.php"); ?>
而"login3.php"有以下代码:
<?php
session_start();
if(!isset($_SESSION['username'])){
header('Location: login.php');
exit;
}
?>
如果有人可以帮助我解决这个问题,因为我从在线教程中获得了这些脚本,并且对 PHP 了解不多,并且真的需要知道为什么允许使用空白用户名和密码进行访问。
if($logindata[$_POST["username"]]==$_POST["password"])
如果$logindata[$_POST["username"]]或在这种情况下$logindata['']未定义,则 PHP 会抛出一个通知错误并返回 NULL 或空的东西,然后将其与同样'' (or empty) $_POST['password']进行比较,(empty == empty)返回 true,当然还有通知错误。
您只需要添加检查以确保用户名也存在,例如:
if(isset($logindata[$_POST["username"]]) && $logindata[$_POST["username"]]==$_POST["password"])
问题是,如果$_POST['username']为空,并且您将其用作数组键引用,PHP会将该 null 视为VALID+undefined数组引用,因此您的密码检查归结为:
if ($loginData[null] == null)
这成为
if (null == null)
然后用户走了。
你可能想尝试类似的东西
if($username && $password);
[
//info is provided
]
else
[
echo "You did not provide the proper information needed for login.";