我想获得一些明确的信息或回复如何解决下一个问题。
目前我使用MySQL连接,但现在我想转移到MySQLi。我不想使用PDO,所以请不要喜欢它。
新的mysqli代码就是这个,但它不起作用我觉得我用了太多其他东西,这是不需要的。
<?php
include('includes/functions.php');
session_start();
if(isset($_POST['login'])) {
if(isset($_POST['username'])) {
if(isset($_POST['password'])) {
$username = $_POST['username'];
mysqli_query($query, "SELECT * FROM cm_users WHERE Username = '$username'") or die(mysql_error());
foreach ($query as $user)
if(sha3($_POST['password'],256) == $user['Password']) {
$_SESSION['user'] = $user['Username'];
if(isset($_POST['g-recaptcha-response'])){
$captcha=$_POST['g-recaptcha-response'];
}
if(!$captcha){
header("Location: login.php");
echo "<button class='btn btn-block btn-warning btn-sm'>Please check your login details.</button>";
exit;
}
$response=file_get_contents("https://www.google.com/recaptcha/api/siteverify?secret=******&response=".$captcha."&remoteip=".$_SERVER['REMOTE_ADDR']);
if($response.success==false)
{
echo '<h2>You are spammer ! Get the @$%K out</h2>';
} else {
echo '<h2>Thanks for posting comment.</h2>';
}
header("Location: redirect.php");
} else {
echo "<button class='btn btn-block btn-warning btn-sm'>Please check your login details.</button>";
include('login.php');
}
} else {
echo "<button class='btn btn-block btn-warning btn-sm'>Please check that you filled out the login form!</button>";
include('login.php');
}
}
}
?>
知道如何解决问题以获得工作吗?
答案 0 :(得分:2)
将其作为维基 - 我没有任何好处可以从中获益,但更多的是OP和未来访问者的问题。
从评论中拉出并稍加修改:
首先,您仍然使用mysql_error()
混合使用API,其中{}为mysqli_error($query)
,假设$query
是您的连接代码中使用的连接变量。
然后这会让你foreach ($query as $user)
失败,因为没有任何内容分配给$query
(对于查询),因为你正在检查foreach
对你的数据库连接的变量和如果您使用了正确的错误功能,那么本身就应该抛出错误。
成为mysqli_error($query)
,其中该函数需要数据库连接作为参数。
您目前的代码向SQL injection开放。使用mysqli_*
with prepared statements或PDO与prepared statements。
根据建议,使用ircmaxell的一个答案并使用更好的散列/查询功能。
从他的回答中拉出来:
只需使用图书馆。认真。它们存在是有原因的。
password_hash()
password-compat
(上面的兼容包)不要自己动手。如果你正在创造自己的盐,你做错了。你应该使用一个为你处理这个问题的库。
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
登录时:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
答案 1 :(得分:0)
@Fred -ii-回答了我的问题,所以他帮助很多:)
然后你去;-)为你的数据库连接以外的查询分配一个变量。解决了。 $other_var = mysqli_query($connection, query)...
并在你的foreach中使用该变量。你想我的评论作为答案吗? ;-) - Fred -iii -
test = mysqli_query($query, "SELECT * FROM cm_users WHERE Username = '$username'") or die(mysqli_error($query)); foreach ($test as $user)
?:D
你错过了$ --- $test = mysqli_query.... sure. then foreach($test..).
- Fred -ii-