>백엔드 개발 >PHP 튜토리얼 >**MySQL 로그인 스크립트가 작동하지 않는 이유는 무엇입니까?**

**MySQL 로그인 스크립트가 작동하지 않는 이유는 무엇입니까?**

Susan Sarandon
Susan Sarandon원래의
2024-10-26 07:15:021056검색

**Why is my MySQL login script not working?**

로그인 스크립트의 MySQL 연결에 어떤 문제가 있습니까?

제공된 코드 조각에는 다음과 같은 여러 영역이 있는 것 같습니다. 로그인 양식에 문제가 발생할 수 있습니다. 하나씩 살펴보겠습니다:

1. 데이터베이스 연결:

PHP 파일 login.php에서 다음 코드를 사용하여 데이터베이스에 대한 연결 설정을 시도합니다.

<code class="php">// Pretend the following is locked in a vault and loaded but hard coded here
$hostname = "localhost";
$database = "boost";
$username = "root";
$password = "";
$localhost = mysqli_connect($hostname, $username, $password, $database);

if (mysqli_connect_errno()) {
    die("Connection Failed" . mysqli_error());
}</code>

그러나 하드 코딩되어 있습니다. 데이터베이스 자격 증명. 이러한 세부 사항은 나중에 변경될 수 있으므로 코드에 하드 코딩하는 것은 좋지 않습니다. 대신, 더 나은 보안과 유연성을 보장하기 위해 구성 파일에서 데이터베이스 자격 증명을 분리하고 거기에서 읽는 것이 좋습니다.

2. 준비된 문:

register.php와 login.php 모두에서 mysqli_prepare 함수를 사용하여 SQL 문을 준비합니다. 그러나 나중에 mysqli_stmt_execute를 사용하여 실행하지는 않습니다. 이렇게 하면 쿼리가 실행되지 않고 로그인이나 등록이 실패하게 됩니다.

3. 바인딩 매개변수:

mysqli_stmt_bind_param 함수를 사용할 때 바인딩된 매개변수의 유형을 제공해야 합니다. Register.php와 login.php 모두에서 문자열용 "s" 유형을 사용하여 매개변수를 바인딩합니다. 그러나 정수 값을 바인딩하는 경우 정수의 경우 "i"와 같은 적절한 유형 지정자를 사용해야 합니다.

4. 사용자 인증:

login.php에서 사용자 비밀번호를 확인할 때 일반 텍스트 비밀번호($ctPassword)를 데이터베이스에 저장된 해시 비밀번호($dbHashedPassword)와 직접 비교합니다. 이는 공격자가 요청을 가로챌 수 있는 경우 사용자의 비밀번호에 액세스할 수 있도록 허용하므로 보안상 위험합니다. 대신, hashed 비밀번호를 안전하게 비교하려면password_verify 기능을 이용해야 합니다.

5. 세션 처리:

$_SESSION 슈퍼 전역을 사용하여 로그인 성공 시 사용자 ID를 저장합니다. 그러나 login.php에서 session_start()를 사용하여 세션을 시작하지 않습니다. 이렇게 하면 세션이 제대로 초기화되지 않아 세션 데이터를 사용할 수 없게 됩니다.

6. SQL 주입:

SQL 쿼리를 실행할 때 준비된 문을 사용하지 않아 코드가 SQL 주입 공격에 취약해집니다. 이러한 유형의 공격을 방지하려면 항상 준비된 명령문을 사용해야 합니다.

다음은 이러한 문제를 해결하는 업데이트된 코드 조각입니다.

register.php:

<code class="php">session_start();

if (isset($_POST['register'])) {
    $email = $_POST['email'];
    $ctPassword = $_POST['password'];   // Cleartext password from user

    // Pretend the following is locked in a vault and loaded but hard coded here
    $host = "yourhostname";
    $dbname = "dbname";
    $user = "dbuser";
    $pwd = "password";
    $port = 3306; // Comes along for the ride so I don't need to look up param order below

    try {
        $mysqli = new mysqli($host, $user, $pwd, $dbname, $port);

        if ($mysqli->connect_error) {
            die('Connect Error (' . $mysqli->connect_errno . ') ' . $mysqli->connect_error);
        }

        $query = "INSERT INTO user_accounts2(email, password) VALUES (?, ?)";
        $stmt = $mysqli->prepare($query);

        $hp = password_hash($ctPassword, PASSWORD_DEFAULT); // Hashed password using cleartext one

        $stmt->bind_param("ss", $email, $hp);
        $stmt->execute();

        $iLastInsertId = $mysqli->insert_id;
        $stmt->close();
        $mysqli->close();
    } catch (mysqli_sql_exception $e) {
        throw $e;
    }
}</code>

login.php:

<code class="php">session_start();

if (isset($_POST['login'])) {
    $email = $_POST['email'];
    $ctPassword = $_POST['password'];   // Cleartext password from user

    // Pretend the following is locked in a vault and loaded but hard coded here
    $host = "yourhostname";
    $dbname = "dbname";
    $user = "dbuser";
    $pwd = "password";
    $port = 3306;

    try {
        $mysqli = new mysqli($host, $user, $pwd, $dbname, $port);

        if ($mysqli->connect_error) {
            die('Connect Error (' . $mysqli->connect_errno . ') ' . $mysqli->connect_error);
        }

        $query = "SELECT id, email, password FROM user_accounts2 WHERE email = ?";
        $stmt = $mysqli->prepare($query);

        $stmt->bind_param("s", $email);
        $stmt->execute();

        $result = $stmt->get_result();

        if ($row = $result->fetch_array(MYSQLI_ASSOC)) {
            $dbHashedPassword = $row['password'];
            if (password_verify($ctPassword, $dbHashedPassword)) {
                echo "Right, userId=";
                $_SESSION['userid'] = $row['id'];
                echo $_SESSION['userid'];
            } else {
                echo "Wrong";
            }
        } else {
            echo 'No such record';
        }

        $stmt->close();
        $mysqli->close();
    } catch (mysqli_sql_exception $e) {
        throw $e;
    }
}</code>

추가 참고 사항:

  • 데이터베이스 상호 작용을 단순화하려면 PDO 또는 Doctrine과 같은 데이터베이스 추상화 계층(DAL)을 사용하는 것이 좋습니다.
  • 데이터베이스에 비밀번호를 일반 텍스트로 저장하지 마세요. 항상 bcrypt 또는 Argon2와 같은 강력한 해싱 알고리즘을 사용하여 안전하게 해시하십시오.
  • SQL 주입 공격을 방지하려면 준비된 명령문을 사용하세요.
  • 악의적인 공격을 방지하려면 데이터베이스에 제출하기 전에 사용자 입력을 검증하세요.
  • 다양한 유형의 공격으로부터 애플리케이션을 보호하려면 보다 강력한 보안 프레임워크를 사용하는 것이 좋습니다.

위 내용은 **MySQL 로그인 스크립트가 작동하지 않는 이유는 무엇입니까?**의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.