$query = "SELECT * FROM users WHERE username = '$username'";
$query_run = mysqli_query($con, $query);
if(mysqli_num_rows($query_run) < 1)
{
header("Location: ../index.php?login=username");
exit();
}
else
{
if($row = mysqli_fetch_assoc($query_run))
{
//deshashing password
$hashedPwdCheck = password_verify($password, $row['password']);
if($hashedPwdCheck == false)
{
header("Location: ../index.php?login=false");
exit();
}
elseif($hashedPwdCheck == true)
{
//login the user here
$_SESSION ['u_name'] = $row['username'];
$_SESSION ['u_email'] = $row['email'];
$_SESSION ['u_password'] = $row['password'];
$_SESSION ['u_id'] = $row['userid'];
header("Location: ../index.php?login=success");
exit();
以上是登录代码。
以下是存储密码并对其进行哈希处理的注册码。
else
{
//hashing password
$hashedPwd = password_hash($password, PASSWORD_DEFAULT);
//insert the user into the database
$query = "INSERT INTO users (username, email, password) VALUES ('$username', '$email', '$hashedPwd');";
mysqli_query($con, $query);
header("Location: ../register.php?register=success");
exit();
}
请帮助,我有点困惑为什么这不起作用。
此致 罗斯
答案 0 :(得分:5)
您在其中存储散列密码的列不够长。它应该超过60个字符,我建议使用VARCH(255)或TEXT来考虑将来可能会创建更长哈希的password_hash()函数的任何更改。
您不应将密码存储在会话数组中,因为它暴露了获取密码被劫持的可能性。
Little Bobby说 your script is at risk for SQL Injection Attacks. 了解prepared的MySQLi语句。
&#34;没有sql_injection,因为我的变量上有一个函数可以将输入的文本转换为纯文本。
mysqli_real_escape_string($con, $_POST['registerEmail']);&#34;
即使escaping the string也不安全!