Mengapa Borang Log Masuk Saya Gagal Mengesahkan Pengguna Walaupun Tiada Ralat Yang Jelas?

Tidak Dapat Menyambungkan Borang Log Masuk ke Pangkalan Data MySQL

Soalan ini berkenaan isu menyambungkan borang log masuk ke pangkalan data MySQL. Pengguna tidak menemui ralat semasa percubaan log masuk, tetapi proses itu gagal untuk mengesahkan pengguna. Untuk menyelesaikan isu ini, kami akan menyelidiki borang log masuk yang disediakan dan skrip PHP yang disertakan untuk menyahpepijat sambungan dan mekanisme pengesahan.

Kod yang diserahkan untuk loginpage.php kelihatan mudah dan harus menangkap bukti kelayakan pengguna, termasuk nama pengguna dan kata laluan, melalui borang yang menyiarkan data ke log masuk.php. Walau bagaimanapun, pengendalian seterusnya dalam login.php mendedahkan masalah yang mungkin berlaku.

Di dalam login.php, kod bermula dengan memberikan rentetan kosong kepada kedua-dua pembolehubah $error dan $username, yang menunjukkan niat untuk mengurus mesej ralat dan maklumat nama pengguna . Perlu diingat bahawa pendekatan ini tidak mempunyai pengesahan input asas untuk input ini. Input pengguna yang tidak selamat hendaklah sentiasa dibersihkan dan disahkan sebelum digunakan dalam pertanyaan pangkalan data atau operasi lain.

Bergerak, jika (kosong($_POST['nama pengguna']) || kosong($_POST['kata laluan] '])) keadaan menyemak sama ada sama ada medan input nama pengguna atau kata laluan kosong. Jika ya, pembolehubah $error ditetapkan kepada "Nama Pengguna atau Kata Laluan tidak sah," dan pengguna tidak disahkan.

Dengan mengandaikan kedua-dua medan mengandungi input bukan kosong, kod tersebut mewujudkan sambungan pangkalan data menggunakan parameter yang disediakan . Walau bagaimanapun, pendekatan sambungan di sini tidak mempunyai pengendalian ralat. Jika timbul sebarang isu sambungan, ia tidak akan ditangkap dan dilaporkan, menjadikannya sukar untuk nyahpepijat puncanya.

Seterusnya, ia melaksanakan pertanyaan SQL untuk mengambil maklumat pengguna berdaftar dan membandingkannya dengan bukti kelayakan yang diberikan. Fungsi mysqli_query mengembalikan palsu apabila gagal, yang harus diperiksa. Jika pertanyaan gagal, skrip harus ditamatkan dengan mesej ralat atau log isu untuk pemeriksaan lanjut.

Kod tersebut kemudiannya mengira bilangan baris menggunakan mysqli_num_rows. Tetapi semakan ini mempunyai kelemahan logik: ia menjangkakan satu baris wujud untuk log masuk yang sah. Walau bagaimanapun, dalam amalan, adalah mungkin untuk mempunyai rekod pendua disebabkan oleh ketidakkonsistenan data atau percubaan berniat jahat. Adalah lebih bijak untuk menyemak kehadiran sekurang-kurangnya satu baris daripada bergantung pada kiraan yang tepat.

Jika baris ditemui, pengguna dianggap dibenarkan dan pembolehubah $_SESSION['login_user'] ditetapkan dengan nama pengguna. Walau bagaimanapun, tidak jelas cara kod bertindak balas apabila berbilang baris yang sepadan ditemui atau cara ia menguruskan keadaan perlumbaan yang berpotensi atau isu konkurensi.

Kod terus menutup sambungan pangkalan data. Walau bagaimanapun, jika terdapat ralat semasa mana-mana operasi sebelumnya (seperti pertanyaan pangkalan data), sambungan mungkin dibiarkan terbuka, menyebabkan kebocoran sumber atau isu prestasi.

Untuk meningkatkan keteguhan dan keselamatan kod ini, langkah tambahan boleh termasuk:

• Menggunakan pernyataan yang disediakan dengan pertanyaan berparameter untuk menghalang serangan suntikan SQL.
• Menggunakan pengesahan yang lebih mantap mekanisme, seperti pencincangan dan pemasinan kata laluan, bukannya menyimpan kata laluan dalam cleartext.
• Menambah pengendalian ralat dan pengelogan di seluruh skrip untuk mengenal pasti dan menangani masalah sambungan atau kegagalan pertanyaan.
• Menguatkuasakan kekangan unik pada medan 'nama pengguna' dalam pangkalan data untuk mengelakkan akaun pengguna pendua.

Atas ialah kandungan terperinci Mengapa Borang Log Masuk Saya Gagal Mengesahkan Pengguna Walaupun Tiada Ralat Yang Jelas?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!