如何解决这个登录脚本的问题？

2018-07-03 06:42:28

我被困在我的编码中：我需要检查电子邮件是否合法，并检查密码是否匹配。

正如你所看到的，我试图确保它里面有'@'，但它不起作用。

 <?php
    error_reporting(1);
    include("../site/inc/config.php");

    if (isset($_POST['submit'])) {
        $username = clean($_POST['username']);
        $password = clean($_POST['password']);
        $pass_conf = clean($_POST['password2']);
        $email = clean($_POST['email']);
        $ip = $_SERVER['REMOTE_ADDR'];
        $reg_date = date("F jS, Y - g:i a");
        $md5 = md5($password);

        if(!$username){
            header("Location: /site/register.php?error=1");
            //error
            die;
        }


        if(!$password){
            header("Location: /site/register.php?error=1");
            //error
            die;
        }


        if(!$pass_conf){
            header("Location: /site/register.php?error=1");
            //error
            die;
        }


        if(!$email){
            header("Location: /site/register.php?error=1");
            //error
            die;
        }

        $sign = '@';

        if (strpos($email,$sign) !== true) {
            header("Location: /site/register.php?error=122");
            //error
            die;
        }

        $check_user = mysql_query("SELECT `username` FROM `users` WHERE `username` = '".$username."'");

        if(mysql_num_rows($check_user) !== 0){
            header("Location: /site/register.php?error=2");
            //error
            die;
        }

        $check_email = mysql_query("SELECT `email` FROM `users` WHERE `email` = '".$email."'");

        if(mysql_num_rows($check_email) !== 0){
            header("Location: /site/register.php?error=3");
            //error
            die;
        }

        mysql_query("INSERT INTO `users` (`username`, `password`, `email`, `ip`, `rank`, `reg_date`) VALUES ('$username', '$md5', '$email', '$ip', '1', '$reg_date')");
        header("Location: /site/register.php?success=1");
    } else {
        header("Location: register.php?error=4");
    }

    ?>

if (strpos($email,$sign) === false) {
    /* error ! */
}

将是正确的，因为strpos永远不会返回true。它返回false或一个整数。所以在这种情况下，如果strpos严格等于false，则会出现错误。

对于密码匹配，只需比较密码即可：

if ($password !== $pass_conf) {
    /* error ! */
}

Ps：通过mysql_real_escape_string($variable)在查询中包围mysql_real_escape_string($variable) 。如果不是，您会冒SQL注入风险。

啊。首先，不要将不推荐使用的mysql_切换到mysqli 。

其次，不要检查是否设置了$_POST ， $_GET ， $_COOKIE变量。而是：

$request_variables = array('password', 'password2', 'username', ...);
$data = array();
foreach( $request_variables as $k){
    if( !isset( $_POST[$k])){
        header( 'Location: http://...'); // Yes, use absolute url
        die();
    }

    $v = clean( $_POST[$k]);
    if( !$v){
        // header, die
    }

    $data[$k] = $v;
}

然后，确保在将数据推入查询之前将数据转义出来。如果不使用带有参数的预处理语句，至少应使用* sigh * mysql_real_escape_string，最后但并非最不重要的一点，对于电子邮件验证，只需浏览堆栈溢出一段时间：

if (!filter_var($data['email'], FILTER_VALIDATE_EMAIL)) {
    header("Location: http://.../site/register.php?error=122");
    die();
}

是的，和密码匹配：

if( $data['password'] !== $data['password2']){
    header(...);
    die(...);
}

但我会尝试验证密码匹配onsubmit的<form> 太（这样密码将只发送一次，也是他们两个送到服务器禁用了JavaScript的情况下）。

链接地址: http://www.djcxy.com/p/92733.html

上一篇: How to resolve the problems with this login script?

下一篇: Regex problem Email test