大家好,这是我的第一个问题,所以如果我解释错误,请不要杀我。我正在尝试使用数据库制作用户帐户系统,问题是当有人登录时,如果另一个用户登录并从他的帐户 ID 更改 URL:index.php?us=7要索引.php?us=270,他/她可以进入其他用户的VIP页面。这是登录控制代码。
<?
//incluir librerias
include_once "funciones/funciones_BD.php";
include_once "constantes/constantes.php";
//abrir BD
Abrir_BD($link,$Servidor,$Usuario,$Clave,$BD);
$id = mysql_query("SELECT xidusuario FROM tblreferidos_usuarios WHERE xemail='".htmlentities($_REQUEST["email"])."'",$link);
$xid = mysql_fetch_row($id);
$usuario = mysql_query("SELECT xemail FROM tblreferidos_usuarios WHERE xemail='".htmlentities($_REQUEST["email"])."'",$link);
$Nusuario = mysql_num_rows($usuario);
//Si existe el usuario, validamos también la contraseña ingresada y el estado del usuario…
if($Nusuario != 0){
$clave = mysql_query("SELECT xpass FROM tblreferidos_usuarios WHERE xestado=1 AND xemail='".htmlentities($_REQUEST["email"])."' AND xpass='".htmlentities($_REQUEST["clave"])."'",$link);
$Nclave = mysql_num_rows($clave);
//Si el usuario y clave ingresado son correctos (y el usuario está activo en la BD), creamos la sesión del mismo.
if($Nclave != 0){
session_start();
//Guardamos dos variables de sesión que nos auxiliará para saber si se está o no "logueado" un usuario
$_SESSION["autentica"] = "SI";
$_SESSION["usuarioactual"] = $usuario; //nombre del usuario logueado.
//Direccionamos a nuestra página principal del sistema.
$us=$_REQUEST["email"];
header ("Location: referidos_index.php?us=$xid[0]");
}
else{
echo"<script>alert('La contrase'u00f1a del usuario no es correcta.')
window.location.href='"referidos_login.php?'"</script>";
}
}else{
echo"<script>alert('El usuario no existe.');window.location.href='"referidos_login.php'" </script>";
}
mysql_close($link);
?>
这是我每隔一页放入以检查会话的代码
if(!isset($_SESSION["usuarioactual"]))
{
header("Location:referidos_login.php");
die();
}
如果有人能指出我的问题在哪里,那就太好了!!谢谢。
这不能,也不应该在没有一点安全性考虑的情况下进行。 如果您正在学习PHP,请以正确的方式进行。 请使用预准备语句来处理任何用户输入的代码。 这是几行代码,但是:
$sql="******";
$stmnt=$mysqlidb->prepare($sql);
$stmnt->bind_param("******",******);
$stmnt->execute();
$stmnt->bind_result(******);
while($stmnt->fetch())
{
}
$stmnt->close();
将允许您安全地访问您的密码 - 您需要用自己的东西代替 *。
如果您只需要获取一行,则可以省略 while。
其次,将用户密码存储为哈希 -
define ("CRYPT_SALT","Random Stuff");
password=SHA1($_POST['password'].CRYPT_SALT);
您无法检索它们,但是,其他人也无法检索。 将提交的密码的哈希值与数据库中的哈希值进行比较。
经过身份验证后,不要通过 GET 传递用户数据。 改为以 $_SESSION 美元存储用户数据。为了提高安全性,创建一个随机数(microtime(( 的 SHA1 哈希就可以了(将其存储在数据库中和 $_SESSION 中。
每次加载页面时,将 $_SESSION 中的随机数与数据库中的随机数与该用户名(如果匹配(进行比较,则继续。 理想情况下,您可以重新生成新的随机数并更新 SESSION 和 db 记录,以便用户可以看到下一页。
此方法与无需将所有数据存储在数据库中的情况下一样安全。 它取决于大多数应用程序,特别是如果您使用 SSL,并且不比您建议的较小系统更难编码。