Apakah masalah dengan sambungan MySQL saya dalam skrip log masuk saya?
Dalam serpihan kod yang disediakan, nampaknya terdapat beberapa kawasan yang boleh menyebabkan masalah dengan borang log masuk. Mari kita baca satu persatu:
1. Sambungan Pangkalan Data:
Dalam log masuk fail PHP.php, anda cuba mewujudkan sambungan ke pangkalan data menggunakan kod berikut:
<code class="php">// Pretend the following is locked in a vault and loaded but hard coded here
$hostname = "localhost";
$database = "boost";
$username = "root";
$password = "";
$localhost = mysqli_connect($hostname, $username, $password, $database);
if (mysqli_connect_errno()) {
die("Connection Failed" . mysqli_error());
}</code>Salin selepas log masuk
Walau bagaimanapun, anda mempunyai kod keras kelayakan pangkalan data. Bukan amalan yang baik untuk mengekodkan butiran ini dalam kod, kerana ia mungkin berubah pada masa hadapan. Sebaliknya, adalah disyorkan untuk mengasingkan bukti kelayakan pangkalan data dalam fail konfigurasi dan membacanya dari sana untuk memastikan keselamatan dan fleksibiliti yang lebih baik.
2. Penyata Disediakan:
Dalam kedua-dua register.php dan login.php, anda menyediakan pernyataan SQL menggunakan fungsi mysqli_prepare. Walau bagaimanapun, anda tidak melaksanakannya selepas itu menggunakan mysqli_stmt_execute. Ini akan menghalang pertanyaan daripada dilaksanakan dan mengakibatkan log masuk atau pendaftaran gagal.
3. Parameter Pengikat:
Apabila menggunakan fungsi mysqli_stmt_bind_param, anda harus menyediakan jenis parameter terikat. Dalam kedua-dua register.php dan login.php, anda mengikat parameter menggunakan jenis "s", iaitu untuk rentetan. Walau bagaimanapun, jika anda mengikat nilai integer, anda harus menggunakan penentu jenis yang sesuai, seperti "i" untuk integer.
4. Pengesahan Pengguna:
Dalam login.php, apabila mengesahkan kata laluan pengguna, anda membandingkan kata laluan cleartext ($ctPassword) terus dengan kata laluan cincang yang disimpan dalam pangkalan data ($dbHashedPassword). Ini adalah risiko keselamatan, kerana ia membolehkan penyerang mendapat akses kepada kata laluan pengguna jika mereka boleh memintas permintaan. Sebaliknya, anda harus menggunakan fungsi password_verify untuk membandingkan kata laluan yang dicincang dengan selamat.
5. Pengendalian Sesi:
Anda menggunakan superglobal $_SESSION untuk menyimpan ID pengguna apabila berjaya log masuk. Walau bagaimanapun, anda tidak memulakan sesi menggunakan session_start() dalam login.php. Ini akan menghalang sesi daripada dimulakan dengan betul dan data sesi tidak akan tersedia.
6. SQL Injection:
Anda tidak menggunakan pernyataan yang disediakan semasa melaksanakan pertanyaan SQL anda, yang menjadikan kod anda terdedah kepada serangan suntikan SQL. Anda hendaklah sentiasa menggunakan pernyataan yang disediakan untuk menghalang jenis serangan ini.
Berikut ialah beberapa serpihan kod yang dikemas kini yang menangani isu ini:
register.php:
<code class="php">session_start();
if (isset($_POST['register'])) {
$email = $_POST['email'];
$ctPassword = $_POST['password']; // Cleartext password from user
// Pretend the following is locked in a vault and loaded but hard coded here
$host = "yourhostname";
$dbname = "dbname";
$user = "dbuser";
$pwd = "password";
$port = 3306; // Comes along for the ride so I don't need to look up param order below
try {
$mysqli = new mysqli($host, $user, $pwd, $dbname, $port);
if ($mysqli->connect_error) {
die('Connect Error (' . $mysqli->connect_errno . ') ' . $mysqli->connect_error);
}
$query = "INSERT INTO user_accounts2(email, password) VALUES (?, ?)";
$stmt = $mysqli->prepare($query);
$hp = password_hash($ctPassword, PASSWORD_DEFAULT); // Hashed password using cleartext one
$stmt->bind_param("ss", $email, $hp);
$stmt->execute();
$iLastInsertId = $mysqli->insert_id;
$stmt->close();
$mysqli->close();
} catch (mysqli_sql_exception $e) {
throw $e;
}
}</code>Salin selepas log masuk
log masuk.php:
<code class="php">session_start();
if (isset($_POST['login'])) {
$email = $_POST['email'];
$ctPassword = $_POST['password']; // Cleartext password from user
// Pretend the following is locked in a vault and loaded but hard coded here
$host = "yourhostname";
$dbname = "dbname";
$user = "dbuser";
$pwd = "password";
$port = 3306;
try {
$mysqli = new mysqli($host, $user, $pwd, $dbname, $port);
if ($mysqli->connect_error) {
die('Connect Error (' . $mysqli->connect_errno . ') ' . $mysqli->connect_error);
}
$query = "SELECT id, email, password FROM user_accounts2 WHERE email = ?";
$stmt = $mysqli->prepare($query);
$stmt->bind_param("s", $email);
$stmt->execute();
$result = $stmt->get_result();
if ($row = $result->fetch_array(MYSQLI_ASSOC)) {
$dbHashedPassword = $row['password'];
if (password_verify($ctPassword, $dbHashedPassword)) {
echo "Right, userId=";
$_SESSION['userid'] = $row['id'];
echo $_SESSION['userid'];
} else {
echo "Wrong";
}
} else {
echo 'No such record';
}
$stmt->close();
$mysqli->close();
} catch (mysqli_sql_exception $e) {
throw $e;
}
}</code>Salin selepas log masuk
Nota Tambahan:
- Adalah sangat disyorkan untuk menggunakan lapisan abstraksi pangkalan data (DAL) seperti PDO atau Doktrin untuk memudahkan interaksi pangkalan data anda.
- Jangan sekali-kali menyimpan kata laluan dalam teks biasa dalam pangkalan data anda. Sentiasa cincangnya dengan selamat menggunakan algoritma pencincangan yang kuat seperti bcrypt atau Argon2.
- Gunakan pernyataan yang disediakan untuk mengelakkan serangan suntikan SQL.
- Sahkan input pengguna sebelum menyerahkannya ke pangkalan data untuk mengelakkan serangan berniat jahat.
- Pertimbangkan untuk menggunakan rangka kerja keselamatan yang lebih teguh untuk melindungi aplikasi anda daripada pelbagai jenis serangan.
Atas ialah kandungan terperinci **Mengapa skrip log masuk MySQL saya tidak berfungsi?**. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
