Heim > Fragen und Antworten > Hauptteil
Das macht mich also verrückt! Wenn der Benutzername korrekt ist, wird das Passwort problemlos verglichen. Wenn der Benutzername jedoch falsch ist, findet der Vergleich nicht statt und ich erhalte diesen Fehler. Ich möchte den Datenbankwert mit dem vom Benutzer eingegebenen Wert vergleichen.
<?php $nm = $_POST['nm']; $pw = $_POST['pw']; try{ $pdo = new PDO('mysql:host=localhost;dbname=gold-market_main', 'root', ''); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); }catch(PDOException $e) { echo "Connection failed: ".$e->getMessage(); die(); } if($nm == null){ die("Feld darf nicht leer sein!"); } elseif(ctype_alpha($nm[0]) or ctype_digit($nm[0])){ $sql = "SELECT k_nutzername, k_passwort FROM kunden WHERE k_nutzername IN('$nm');"; $result = $pdo->query($sql); $row = $result->fetch(PDO::FETCH_ASSOC); if("{$row['k_nutzername']}" != $nm) { //header("Location: login_wrongUN.html"); print("nm wrong"); } elseif("{$row['k_passwort']}" != $pw) { //header("Location: login_wrongPW.html"); print("pw wrong"); } else { header("Location: konto.html"); } }else{ die("Nutzername muss mit einem buchstaben oder einer Zahl beginnen!"); } $pdo = null; ?>
P粉1847475362024-03-27 00:04:57
你可以做类似的事情。但是,它不能防止不安全的密码 a> 也不是定时攻击。
setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); }catch(PDOException $e) { echo "Connection failed: ".$e->getMessage(); die(); } if($nm == null){ die("Feld darf nicht leer sein!") } //ctype does not protect $sql = $pdo->prepare("SELECT k_nutzername, k_passwort FROM kunden WHERE k_nutzername = ?;"); $sql->bindValue(1,$nm,PDO::PARAM_STR); //bind a value to a query, called parametrized queries, most secure way against SQL injection. $sql->execute(); $row = $sql->fetch(PDO::FETCH_ASSOC); if(!$row) { // if the username not exists //header("Location: login_wrongUN.html"); print("nm wrong"); } elseif($row['k_passwort'] != $pw) { //header("Location: login_wrongPW.html"); print("pw wrong"); } else { header("Location: konto.html"); } $pdo = null; ?>