我正在制作这个简单的代码来验证用户。 带有表单的页面是:>登录.php。 使用以下代码。
登录.php :
<html>
<body>
<div style="position:absolute;left:300px;top:300px;width:300px;height:100px;z-index:9;>
<form name="form1" method="POST" action="check.php">
Username:<br />
<input type="text" name="Username" />
<br /><br />
Password:<br />
<input type="password" name="Password" />
<br /><br /><br/>
<input type=button onClick="location.href='check.php'" value='Continue' name='continue'/>
</form>
</div>
</body>
</html>
表单字段值将在下一个 PHP 页面中使用,代码如下:
检查.php :
<?php
session_start();
$con = mysql_connect("localhost", "root", "");
mysql_select_db("aviation", $con) or die(mysql_error());
if (isset($_POST['continue'])) {
$userName = $_POST[Username];
$passWord = $_POST[Password];
mysql_select_db('aviation');
$query = "select * from users where Username='" . $userName . "'and Password='" . $passWord . "'";
$result = mysql_query($query, $con);
if (!$result) {
die('Could not enter data: ' . mysql_error());
}
$rows = mysql_num_rows($result);
if ($rows == 1) {
$_SESSION['Username'];
$_SESSION['Password'];
echo "Successful";
echo "<BR>";
echo "You are authorized to update the status of Bays.";
echo "<BR>";
$Msg = "Redirecting....";
echo '<script type="text/javascript">
alert("' . $Msg . '");
</script>';
header("location:upbstatus.php");
} elseif ($userName == "" || $passWord == "") {
$errorMsg = "Data was not entered <br/> Enter Username and Password";
echo '<script type="text/javascript">
alert("' . $errorMsg . '");
</script>';
else {
$errorMsg = "Data Does Not Match <br/> Re-Enter Username and Password";
$errorMsg = "Data was not entered <br/> Enter Username and Password";
echo '<script type="text/javascript">
alert("' . $errorMsg . '");
</script>';
}
} else {
echo (" =============== not SET ===============");
}
?>
它总是返回:====
=========== 不是设置===============我很困惑为什么会这样。有人可以帮忙吗?值得赞赏。
谢谢。
您的 onclick ( onClick="location.href='check.php'"
( 事件处理程序正在请求check.php
,然后表单才能发出POST
请求。 单击按钮后,它会重定向到check.php
,这会向check.php
发送GET请求 NOT POST
。
要修复它,您需要将按钮更改为提交键入的输入。
<input type='submit' value='Continue' name='continue' />
附加信息:
- 报价数组索引。喜欢
$_POST['Username']
使用 mysql_real_escape_string
或"使用预准备语句"转义 sql 中的参数。
代码存在一些问题:
奇怪的形式行为
<input type=button onClick="location.href='check.php'" value='Continue' name='continue'/>
你为什么要这么做?这根本不会发送用户名和密码字段,因为浏览器将在提交表单之前重定向。如果要在单击时提交表单,请使用<input type="submit">
<input type="submit" value="Continue" name="continue" />
报价数组索引
$userName = $_POST[Username];
$passWord = $_POST[Password];
这会导致在 PHP 中引发通知,因为常量Username
不存在。请改用这个:
$userName = $_POST['Username'];
$passWord = $_POST['Password'];
我不会进入可能未设置$_POST['Username']
的情况。
SQL 中的转义变量
$query = "select * from users where Username='".$userName."'and Password='".$passWord."'";
这很危险;你应该正确地转义变量:
$query = sprintf("select * from users where Username='%s' and Password='%s'",
mysql_real_escape_string($userName),
mysql_real_escape_string($passWord)
);
不要以纯文本形式存储密码
以纯文本形式存储密码只是自找麻烦。改用 bcrypt 来存储密码的哈希值。
另请参阅:PHP 密码的安全哈希和盐
不要使用mysql_xx
函数
此功能已弃用,取而代之的是PDO
/mysqli
和预处理语句。
单击提交按钮即可删除。当你在它的时候,修复你的报价。
<form name="form1" method="POST" action="check.php">
Username:<br />
<input type="text" name="Username" />
<br /><br />
Password:<br />
<input type="password" name="Password" />
<br /><br /><br/>
<input type="submit" value="Continue" name="continue"/>
</form>