Ошибка входа в PHP - он всегда позволяет мне войти, независимо от того, существует пользователь или нет

Question

Ошибка входа в PHP - он всегда позволяет мне войти, независимо от того, существует пользователь или нет

0

код - не уверен, что происходит, пожалуйста, помогите:

$accountname = $_POST['logname'];
$password = $_POST['logpassword']; 
echo '<br>';

$logsql = mysqli_query("SELECT Name FROM practice.users WHERE Name = $accountname and Password = $password;");
if (mysqli_num_rows($logsql) < 0) {
     echo 'Account doesnt exist';
}
else {
    echo 'Welcome ' . $accountname;
}

Gaming Chipmunk 28 май 2018, в 23:43

Источник

3

<0? .............
Andrew 28 май 2018, в 20:59
0

Сколько строк возвращается, если нет пользователя? Я сомневаюсь, что это меньше 0;) Кроме того, код представляет собой огромный риск для безопасности. Вы позволяете формам размещать данные непосредственно в запросе к базе данных, который очень легко атаковать. stackoverflow.com/questions/12859942/...
James 28 май 2018, в 20:59
1

Также этот код не работает. mysqli_query() нуждается в параметре соединения!
Qirel 28 май 2018, в 21:00
0

я только начал, и я просто пытаюсь заставить вещи работать, прежде чем я продолжу
Gaming Chipmunk 28 май 2018, в 21:00
0

Справедливо, у вас есть свой ответ, поэтому мы просто дадим вам знать, потому что лучше учить правильный путь, а не неправильный, поскольку это пустая трата вашего времени :)
James 28 май 2018, в 21:01
0

какой хороший способ учиться
Gaming Chipmunk 28 май 2018, в 21:02
2

Это практически тот же код с теми же ошибками, которые вы опубликовали 3 часа назад.
Nigel Ren 28 май 2018, в 21:20
0

Предупреждение! Вы широко открыты для SQL-инъекций и должны действительно использовать подготовленные операторы вместо того, чтобы вручную создавать подобные запросы. Тем более, что вы вообще не избегаете пользовательских вводов!
Magnus Eriksson 28 май 2018, в 21:26
0

Никогда не храните пароли в открытом виде! , Храните только хеши паролей! Используйте PHP password_hash() и password_verify() . Если вы используете версию PHP ниже 5.5 (на что я действительно надеюсь), вы можете использовать библиотеку password_compat для получения той же функциональности.
Magnus Eriksson 28 май 2018, в 21:27
2

Вышеперечисленные проблемы - это первое, что вы должны решить. Их исправление может решить ваши текущие проблемы, поскольку это означает, что вам необходимо провести рефакторинг вашего кода. Нет веских причин для сознательного написания небезопасного кода, а затем тратить больше времени на его отладку.
Magnus Eriksson 28 май 2018, в 21:28
1

Возможный дубликат Как проверить, существует ли учетная запись, чтобы позволить человеку войти в систему
Sam M 29 май 2018, в 01:03

Показать ещё 9 комментариев

Теги:

php

mysql

html

2 ответа

Ещё вопросы

Сколько строк возвращается, если нет пользователя? Я сомневаюсь, что это меньше 0;) Кроме того, код представляет собой огромный риск для безопасности. Вы позволяете формам размещать данные непосредственно в запросе к базе данных, который очень легко атаковать. stackoverflow.com/questions/12859942/...
Также этот код не работает. mysqli_query() нуждается в параметре соединения!
я только начал, и я просто пытаюсь заставить вещи работать, прежде чем я продолжу
Справедливо, у вас есть свой ответ, поэтому мы просто дадим вам знать, потому что лучше учить правильный путь, а не неправильный, поскольку это пустая трата вашего времени :)
Это практически тот же код с теми же ошибками, которые вы опубликовали 3 часа назад.
Предупреждение! Вы широко открыты для SQL-инъекций и должны действительно использовать подготовленные операторы вместо того, чтобы вручную создавать подобные запросы. Тем более, что вы вообще не избегаете пользовательских вводов!
Никогда не храните пароли в открытом виде! , Храните только хеши паролей! Используйте PHP password_hash() и password_verify() . Если вы используете версию PHP ниже 5.5 (на что я действительно надеюсь), вы можете использовать библиотеку password_compat для получения той же функциональности.
Вышеперечисленные проблемы - это первое, что вы должны решить. Их исправление может решить ваши текущие проблемы, поскольку это означает, что вам необходимо провести рефакторинг вашего кода. Нет веских причин для сознательного написания небезопасного кода, а затем тратить больше времени на его отладку.
Возможный дубликат Как проверить, существует ли учетная запись, чтобы позволить человеку войти в систему

rpm192 · Answer 1 · 2018-05-29T18-31-00.000Z

У вас довольно много ошибок/ошибок в коде.

Пусть начнется сверху.

$logsql = mysqli_query("SELECT Name FROM practice.users WHERE Name = $accountname and Password = $password;");

mysqli_query требуется параметр подключения. Использование mysqli_query в запросе с пользовательским вводом также представляет большой риск для безопасности.

Пусть это изменит, используя подготовленные заявления.

$stmt = $connect->prepare("SELECT Name FROM 'practise.users' WHERE Name = ? AND Password = ?");

if(!$stmt) {
    // Something went wrong, create an error with a class to display it accordingly
    $error = [
        'msg' => 'The server could not process your request',
        'class' => 'whatever class you use for error handling',
    ];
}

if(!$stmt->bind_param('ss', $accountname, $password)) {
    // Something went wrong, create an error with a class to display it accordingly
    $error = [
        'msg' => 'The server could not process your request',
        'class' => 'whatever class you use for error handling',
    ];
}

if(!$stmt->execute()) {
    // Something went wrong, create an error with a class to display it accordingly
    $error = [
        'msg' => 'The server could not process your request',
        'class' => 'whatever class you use for error handling',
    ];
} else {
    // Query ran succesfully, lets get the result
    $stmt->store_result();

    $rows = $stmt->num_rows();
}

Судя по тому, что вы также выбираете поле пароля, я подозреваю, что вы храните пароли в текстовом виде. Это еще один риск для безопасности.

Хешируйте пароли так.

password_hash($passwordToHash, PASSWORD_DEFAULT);

И проверьте их как это (не проверяйте введенный пароль перед его проверкой).

password_verify($passwordToValidate, $passwordHash);

Теперь проверьте, существуют ли пользователи и что они вошли в систему.

Вы использовали < 0 который не будет работать, так как он означает меньше нуля.

Это должно сработать.

else {
 // Query ran succesfully, lets get the result
 $stmt->store_result();

 $rows = $stmt->num_rows();

 if($rows > 0) {
     // More than 0 results, the user exists
     session_start();

     // Set a session variable for the username
     $_SESSION['username'] = $accountname;

     // Redirect the user to the secured page (optional)
     header('Location: secured-page.php');
 } else {
     // The result is 0, the user doesn't exist
     $error = [
         'msg' => 'That user does not exists.',
         'class' => 'whatever class you use for error handling',
     ];
 }
}

Общий код для утверждения и проверки

$stmt = $connect->prepare("SELECT Name FROM 'practise.users' WHERE Name = ? AND Password = ?");

if(!$stmt) {
    // Something went wrong, create an error with a class to display it accordingly
    $error = [
        'msg' => 'The server could not process your request',
        'class' => 'whatever class you use for error handling',
    ];
}

if(!$stmt->bind_param('ss', $accountname, $password)) {
    // Something went wrong, create an error with a class to display it accordingly
    $error = [
        'msg' => 'The server could not process your request',
        'class' => 'whatever class you use for error handling',
    ];
}

if(!$stmt->execute()) {
    // Something went wrong, create an error with a class to display it accordingly
    $error = [
        'msg' => 'The server could not process your request',
        'class' => 'whatever class you use for error handling',
    ];
} else {
 // Query ran succesfully, lets get the result
 $stmt->store_result();

 $rows = $stmt->num_rows();

 if($rows > 0) {
     // More than 0 results, the user exists
     session_start();

     // Set a session variable for the username
     $_SESSION['username'] = $accountname;

     // Redirect the user to the secured page (optional)
     header('Location: secured-page.php');
 } else {
     // The result is 0, the user doesn't exist
     $error = [
         'msg' => 'That user does not exists.',
         'class' => 'whatever class you use for error handling',
     ];
 }
}

Chomba chanda · Answer 2 · 2018-05-28T20-25-00.000Z

//wITHOUT TAKING SECURITY INTO CONSIDERATION AND BEST PRACTICESS CONSIDER BELOW

$accountname = $_POST['logname'];
$password = $_POST['logpassword']; 
echo '<br>';//WHY THIS LINE BREAK
//$logsql = mysqli_query("SELECT Name FROM practice.users WHERE Name = $accountname and Password = $password;");

// ADD A CONNECTION BEFORE A THE QUERY SEPERATED BY A COMMA
// ADD SINGLE QUOTES ON '$accountname' AND '$password' VARIABLES
$logsql = mysqli_query($connection, "SELECT Name FROM practice.users WHERE Name = '$accountname' AND Password = '$password'");
if (mysqli_num_rows($logsql) < 0) {
     echo 'Account doesnt exist';
}
else {
    echo 'Welcome ' . $accountname;
}