Was ist das Problem mit meiner MySQL-Verbindung in meinem Anmeldeskript?
In den bereitgestellten Codefragmenten scheint es mehrere Bereiche zu geben, die könnte Probleme mit dem Anmeldeformular verursachen. Gehen wir sie einzeln durch:
1. Datenbankverbindung:
In der PHP-Datei login.php versuchen Sie, mithilfe des folgenden Codes eine Verbindung zur Datenbank herzustellen:
<code class="php">// Pretend the following is locked in a vault and loaded but hard coded here
$hostname = "localhost";
$database = "boost";
$username = "root";
$password = "";
$localhost = mysqli_connect($hostname, $username, $password, $database);
if (mysqli_connect_errno()) {
die("Connection Failed" . mysqli_error());
}</code>Nach dem Login kopieren
Sie haben jedoch fest codiert die Datenbankanmeldeinformationen. Es empfiehlt sich nicht, diese Details fest im Code zu codieren, da sie sich in Zukunft möglicherweise ändern. Stattdessen wird empfohlen, die Datenbankanmeldeinformationen in einer Konfigurationsdatei zu trennen und von dort zu lesen, um mehr Sicherheit und Flexibilität zu gewährleisten.
2. Vorbereitete Anweisung:
Sowohl in register.php als auch in login.php bereiten Sie die SQL-Anweisungen mit der Funktion mysqli_prepare vor. Allerdings führen Sie sie anschließend nicht mit mysqli_stmt_execute aus. Dadurch wird verhindert, dass die Abfrage ausgeführt wird und die Anmeldung oder Registrierung fehlschlägt.
3. Bindungsparameter:
Bei Verwendung der Funktion mysqli_stmt_bind_param sollten Sie die Typen der gebundenen Parameter angeben. Sowohl in register.php als auch in login.php binden Sie die Parameter mithilfe des Typs „s“, der für Zeichenfolgen gilt. Wenn Sie jedoch ganzzahlige Werte binden, sollten Sie den entsprechenden Typbezeichner verwenden, z. B. „i“ für ganze Zahlen.
4. Benutzerauthentifizierung:
In login.php vergleichen Sie bei der Überprüfung des Benutzerpassworts das Klartextpasswort ($ctPassword) direkt mit dem in der Datenbank gespeicherten Hash-Passwort ($dbHashedPassword). Dies stellt ein Sicherheitsrisiko dar, da der Angreifer dadurch Zugriff auf das Passwort des Benutzers erhalten kann, wenn er die Anfrage abfangen kann. Stattdessen sollten Sie die Funktion „password_verify“ verwenden, um die gehashten Passwörter sicher zu vergleichen.
5. Sitzungsverwaltung:
Sie verwenden den Superglobal $_SESSION, um die Benutzer-ID nach erfolgreicher Anmeldung zu speichern. Allerdings starten Sie die Sitzung nicht mit session_start() in login.php. Dadurch wird verhindert, dass die Sitzung ordnungsgemäß initialisiert wird und die Sitzungsdaten nicht verfügbar sind.
6. SQL-Injection:
Sie verwenden beim Ausführen Ihrer SQL-Abfragen keine vorbereiteten Anweisungen, was Ihren Code anfällig für SQL-Injection-Angriffe macht. Sie sollten immer vorbereitete Anweisungen verwenden, um diese Art von Angriff zu verhindern.
Hier sind einige aktualisierte Codefragmente, die diese Probleme beheben:
register.php:
<code class="php">session_start();
if (isset($_POST['register'])) {
$email = $_POST['email'];
$ctPassword = $_POST['password']; // Cleartext password from user
// Pretend the following is locked in a vault and loaded but hard coded here
$host = "yourhostname";
$dbname = "dbname";
$user = "dbuser";
$pwd = "password";
$port = 3306; // Comes along for the ride so I don't need to look up param order below
try {
$mysqli = new mysqli($host, $user, $pwd, $dbname, $port);
if ($mysqli->connect_error) {
die('Connect Error (' . $mysqli->connect_errno . ') ' . $mysqli->connect_error);
}
$query = "INSERT INTO user_accounts2(email, password) VALUES (?, ?)";
$stmt = $mysqli->prepare($query);
$hp = password_hash($ctPassword, PASSWORD_DEFAULT); // Hashed password using cleartext one
$stmt->bind_param("ss", $email, $hp);
$stmt->execute();
$iLastInsertId = $mysqli->insert_id;
$stmt->close();
$mysqli->close();
} catch (mysqli_sql_exception $e) {
throw $e;
}
}</code>Nach dem Login kopieren
login.php:
<code class="php">session_start();
if (isset($_POST['login'])) {
$email = $_POST['email'];
$ctPassword = $_POST['password']; // Cleartext password from user
// Pretend the following is locked in a vault and loaded but hard coded here
$host = "yourhostname";
$dbname = "dbname";
$user = "dbuser";
$pwd = "password";
$port = 3306;
try {
$mysqli = new mysqli($host, $user, $pwd, $dbname, $port);
if ($mysqli->connect_error) {
die('Connect Error (' . $mysqli->connect_errno . ') ' . $mysqli->connect_error);
}
$query = "SELECT id, email, password FROM user_accounts2 WHERE email = ?";
$stmt = $mysqli->prepare($query);
$stmt->bind_param("s", $email);
$stmt->execute();
$result = $stmt->get_result();
if ($row = $result->fetch_array(MYSQLI_ASSOC)) {
$dbHashedPassword = $row['password'];
if (password_verify($ctPassword, $dbHashedPassword)) {
echo "Right, userId=";
$_SESSION['userid'] = $row['id'];
echo $_SESSION['userid'];
} else {
echo "Wrong";
}
} else {
echo 'No such record';
}
$stmt->close();
$mysqli->close();
} catch (mysqli_sql_exception $e) {
throw $e;
}
}</code>Nach dem Login kopieren
Zusätzliche Hinweise:
- Es wird dringend empfohlen, eine Datenbankabstraktionsschicht (DAL) wie PDO oder Doctrine zu verwenden, um Ihre Datenbankinteraktionen zu vereinfachen.
- Speichern Sie Passwörter niemals im Klartext in Ihrer Datenbank. Hashen Sie sie immer sicher mit einem starken Hashing-Algorithmus wie bcrypt oder Argon2.
- Verwenden Sie vorbereitete Anweisungen, um SQL-Injection-Angriffe zu verhindern.
- Validieren Sie Benutzereingaben, bevor Sie sie an die Datenbank senden, um böswillige Angriffe zu verhindern.
- Erwägen Sie die Verwendung eines robusteren Sicherheitsframeworks, um Ihre Anwendung vor verschiedenen Arten von Angriffen zu schützen.
Das obige ist der detaillierte Inhalt von**Warum funktioniert mein MySQL-Anmeldeskript nicht?**. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
