Ошибка в системе обработки входа - PullRequest
Новая
       12

Ошибка в системе обработки входа

0 голосов
/ 29 ноября 2011

Я создал систему входа в систему для своей веб-страницы, но когда я ввожу имя пользователя и пароль, она не может пройти первый этап процесса.У кого-нибудь есть идеи о том, в чем может быть проблема, я предоставил код ниже. 

if(!$_POST['client_username'] || !$_POST['client_password']) {
                    die('You did not fill in a required field.');
                }



                if (!get_magic_quotes_gpc()) {
                    $_POST['client_username'] = addslashes($_POST['client_username']);
                }

                $qry = "SELECT client_username, client_password FROM client WHERE client_username = '".$_POST['client_username']."'";
                $result = mysql_query($qry);

                if($result) {
                if(mysql_num_rows($result) == 1) {
                       die('That username does not exist in our database.');
                    }
                }


                // check passwords match

                $_POST['client_password'] = stripslashes($_POST['client_password']);
                $info['client_password'] = stripslashes($info['client_password']);
                $_POST['client_password'] = md5($_POST['client_password']);

                if ($_POST['client_password'] != $info['client_password']) {
                    die('Incorrect password, please try again.');
                }

                // if we get here username and password are correct, 
                //register session variables and set last login time.

                $client_last_access = 'now()';

                $qry = "UPDATE client SET client_last_access = '$client_last_access' WHERE client_username = '".$_POST['client_username']."'";
                if(!mysql_query($insert,$con)) {
                die('Error: ' . mysql_error());
                }

                else{

                $_POST['client_username'] = stripslashes($_POST['client_username']);
                $_SESSION['client_username'] = $_POST['client_username'];
                $_SESSION['client_password'] = $_POST['client_password'];


                echo '<script>alert("Welcome Back");</script>';
                echo '<meta http-equiv="Refresh" content="0;URL=pv.php">';
                }

Когда я заполняю имя пользователя и пароль, он умирает на первом этапе и показывает сообщение: Выне заполнил обязательное поле.

Ответы [ 2 ]

3 голосов
/ 29 ноября 2011

Вы должны использовать || вместо простого |.

У меня хорошее настроение. Вот твой код. Это должно работать. 

<?php

if( empty( $_POST['client_username'] ) || empty( $_POST['client_password'] ) ) {
    die('You did not fill in a required field.');
}

$qry = sprintf( "SELECT client_username, client_password FROM client WHERE client_username = '%s' LIMIT 1", mysql_real_escape_string( $_POST['client_username'] ) );
$result = mysql_query( $qry );

if( $result ) {
    if( mysql_num_rows( $result ) == 0 ) {
        die('That username does not exist in our database.');
    }
}

// where the f**k do you get your info? i added some.
$info = mysql_fetch_assoc( $result );

if( md5( $_POST['client_password'] ) != $info['client_password'] ) {
    die('Incorrect password, please try again.');
}

// if we get here username and password are correct, 
//register session variables and set last login time.
$qry = sprintf( "UPDATE client SET client_last_access = NOW() WHERE client_username = '%s'", $info['client_username'] );
if( !mysql_query( $qry ) ) {
    die('Error: ' . mysql_error() );
} else {
    $_SESSION['client_username'] = $info['client_username'];
    $_SESSION['client_password'] = $info['client_password'];

    echo '<script>alert("Welcome Back");</script>';
    echo '<meta http-equiv="Refresh" content="0;URL=pv.php">';
}
1 голос
/ 29 ноября 2011

Ваш логин код содержит серьезные недостатки, которые приводят к проблемам безопасности. Вкратце: magic_quotes совместимость и SQL-инъекция . Я не покрываю их. Ваша проблема, которую вы выдвигаете на первый план в своем вопросе, это |, когда вы имели в виду || на первых этапах if предложение: 

  if (!$_POST['client_username'] || !$_POST['client_password'])
                                 ^^

См. Логические операторы Документы . Вы использовали побитовый оператор Документы .

...