新手请教合法用户验证问题-php教程-PHP中文网

首页

后端开发

php教程

新手请教合法用户验证问题

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 23, 2016 pm 02:00 PM

大家好！我最近开始学php 登陆界面是这个意思如果账号和密码与数据库一样那么给一个session=用户名

然后在每个界面检测是否合法用户用include check.php

代码大意就是如果session为空那么提示非法但是发现这样安全性很差请问还有什么好的思路和代码吗多谢

新手没多少分不好意思

回复讨论(解决方案)

session为全局变量，你可以在任意页面检查是否存在session有没有值

session为全局变量，你可以在任意页面检查是否存在session有没有值
我原先的checkA..PHP中是这样写的
session_start();
if($_SESSION[admin_name]==""){
echo "<script>alert('对不起，请通过正确的途径登录博考图书馆管理系统!');window.location.href='login.php';</script>";
}
?>

但是感觉不安全啊如果外部非法提交一个表单在用seession==“任意内容” 就能被执行了请问如何改

$_SESSION[''admin_name]=="" 和session=="" 不一样吧

请告知你的 php 版本

if($_SESSION[admin_name]==""){
应写作
if(! isset($_SESSION['admin_name'])){

5.4.3的版本

打错5.3.4

如果外部非法提交一个表单在用seession==“任意内容” 就能被执行了
是你想象的还是真实的?

如果外部非法提交一个表单在用seession==“任意内容” 就能被执行了
是你想象的还是真实的?

我的checkA中代码如下
//权限验证
//2014-3-20
//by liu
session_start();
if ($_SESSION['username']==""){
echo "<script>alert('操作非法！');location='http://127.0.0.1/admin/index.php';</script>";
}
?>

login代码如下
  //验证登陆信息
  //2014-3-24
  //by liu  1s
session_start();
include_once 'connss.php';
//if($_POST['submit']){
$username=$_POST['username'];
$userpasswd=$_POST['userpass'];
$answers=$_POST['answers'];
$userpasswd=md5($userpasswd);
$sql="select * from user where username='$username'";
$query=mysql_query($sql);
$row=mysql_fetch_array($query);
if ($row['answers']==$answers){
  if($row['username']==$username){
   if($row['userpasswd']==$userpasswd){
   $_SESSION['username']=$username;
echo "<script>location='main.php';</script>";
}
else {
echo "<script>alert('用户名，密码，预留问题错误！');location='index.php';</script>";
}}
else {
echo "<script>alert('用户名，密码，预留问题错误！');location='index.php';</script>";
}}
else {
echo "<script>alert('用户名，密码，预留问题错误！');location='index.php';</script>";
}
?>

我在每个页面前include checkA.php

然后我新建一个php  模仿外部提交内容为一个表单  用于添加新闻  然后开头用 session_start();
$_SESSION['username']=="123";
发现可以提交成功！  求解

session_start();
$_SESSION['username']="123";
是php程序，不是表单能提交的！
当然，如果有人跑到你的服务器上修改你的程序，那就另当别论了

session_start();
$_SESSION['username']="123";
是php程序，不是表单能提交的！
当然，如果有人跑到你的服务器上修改你的程序，那就另当别论了

就是想请教下我这样写的checkA.php是不是安全的如果不是如何修改呢谢谢

应该是安全的

应该是安全的

哪还有别的思路的吗

学习了！！！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP中的依赖注入：避免常见的陷阱May 16, 2025 am 12:17 AM

DependencyInjection(DI)inPHPenhancescodeflexibilityandtestabilitybydecouplingdependencycreationfromusage.ToimplementDIeffectively:1)UseDIcontainersjudiciouslytoavoidover-engineering.2)Avoidconstructoroverloadbylimitingdependenciestothreeorfour.3)Adhe

如何加快PHP网站：性能调整May 16, 2025 am 12:12 AM

到Improveyourphpwebsite的实力，UsEthestertate：1）emplastOpCodeCachingWithOpcachetCachetOspeedUpScriptInterpretation.2）优化的atabasequesquesquesquelies berselectingOnlynlynnellynnessaryfields.3）usecachingsystemssslikeremememememcachedisemcachedtoredtoredtoredsatabaseloadch.4）

通过PHP发送大规模电子邮件：有可能吗？May 16, 2025 am 12:10 AM

是的，itispossibletosendMassemailswithp.1）uselibrarieslikeLikePhpMailerorSwiftMailerForeffitedEmailSending.2）enasledeLaysBetemailStoavoidSpamflagssspamflags.3）sylectynamicContentToimpovereveragement.4）

PHP中依赖注入的目的是什么？May 16, 2025 am 12:10 AM

DependencyInjection(DI)inPHPisadesignpatternthatachievesInversionofControl(IoC)byallowingdependenciestobeinjectedintoclasses,enhancingmodularity,testability,andflexibility.DIdecouplesclassesfromspecificimplementations,makingcodemoremanageableandadapt