管理员登录界面普通用户也可登录进入

管理员登录界面普通用户也可登录进去

本帖最后由 yoshikis 于 2014-09-18 11:55:57 编辑 小弟在自学PHP，目前在写一个留言板，写admin.php这部分代码时，登录用普通user的账户也可登录，不知道哪里出错了。我SQL语句选的是admin表的啊，为什么连user表中的用户也能选到？不懂，求大神解答。

admin.php代码

<?php<br />    error_reporting(0);<br />	@session_start();<br />	require_once 'conn/conn.php';<br />	$user_name=$_POST['name'];<br />	$password=md5($_POST['password']);<br />	$_SESSION['user_name']=$user_name;<br />	if(strlen($user_name)<1){<br />?><br /><html><br /><head><br />	<title>管理员登陆</title><br />	<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><br /></head><br /><body><br /><center><br /><form method="post" action="admin.php"><br /><table border='1'><br />	<tr><br />		<th colspan='2' bgcolor='cccccc'>用户登陆</th><br /><br />	</tr><br />	<tr><br />		<td align='right'>Username:</td><br />		<td><input type='text' name='name' maxlength='16' size='16'></input></td><br />	</tr><br />	<tr><br />		<td align='right'>Password:</td><br />		<td><input type='password' name='password' size='16' maxlength='10'></input></td><br />	</tr><br />	<tr><br />		<td colspan='2'><font size="2"><input type='submit' value='确认登陆'></input><br />		<input type='reset' value='重新填写'></input><br />		<a href='message.php'>注册新用户</a><br />		</font></td><br />	</tr><br /></table><br /></form><br /></center><br /><br /><?php<br /><br />	}<br />	else if(strlen($user_name)>1){<br />	$query="select * from admin where user_name=? and password=?";<br />//	echo $query;<br />//	exit;<br />	$st=$db->prepare($query);<br />    $rs = $st->execute(array($user_name,$password));<br />	if($rs == false)<br />	{<br />		<br />		echo "<center><script>alert('登陆失败!');window.location.href='admin.php'</script></center>";<br />	}<br />	else<br />	{<br />	//	echo "登陆成功!";<br />	echo "<center><script>alert('管理员登陆成功!');window.location.href='admin_select_neirong.php'</script></center>";<br />	}<br />	}<br /><br />?><br /></body><br /></html>

表结构

admin表


user表





------解决思路----------------------
兩個問題
1.    $_SESSION['user_name']=$user_name; 這句應該登入成功後再調用
2. 普通用戶與管理員都用$_SESSION['user_name'] 判斷是否登入，這樣普通用戶登入後，判斷管理員登入都會是登入狀態了。
應該把管理員的登入保存寫成$_SESSION['admin_user_name']  在管理員才可以進入的頁面，判斷$_SESSION['admin_user_name'] 而不是$_SESSION['user_name']