我有一个非常简单的脚本来创建用户:
<?php
include 'mysqlserver.php';
session_start();
$con = mysql_connect($mysql_host, $mysql_username,$mysql_password);
if (!$con) {
die('Could not connect: ' . mysql_error());
}
mysql_select_db($mysql_db, $con);
$newuser = $_POST[username];
$newpassword = $_POST[password];
$confirmnewpassword = $_POST[confirmpassword];
if ($newpassword != $confirmnewpassword) {
die('Passwords do not match.');
}
if ($newuser == null) {
die('You need to choose a username!');
} elseif ($newpassword == null) {
die('You need to enter a password!');
}
$avail_query = mysql_query("SELECT * FROM users WHERE username='$newuser'");
$avail_numrows = mysql_num_rows($avail_query);
if ($avail_numrows != 0) {
die('That user already exists');
}
mysql_query("INSERT INTO users (username, password)
VALUES ('$newuser', '$newpassword')");
$_SESSION['username'] == $newuser;
mysql_close($con);
?>
<script type="text/javascript">
function enterUCP(){
window.location = "/member.php"
}
</script>
</head>
<body onLoad="setTimeout('enterUCP()', 3000)">
Account created! Logging you in...
</body>
最初,我的脚本只是在创建帐户后将您重定向到登录页面.我一直在尝试调整它,以便您在创建帐户后登录.出于某种原因,我无法编辑$ _SESSION ['username']或任何其他会话变量,即使我已经在第3行启动了会话.我很困惑,因为我的一些其他PHP脚本正确地操作了$ _SESSION变量,我无法分辨我的不同之处.
PS请不要评论我的系统的安全性.它可能非常不安全,但我只是在写一个原型.
编辑:只是为了使这个问题少一点无用,任何人都可以在这里发现任何严重的安全漏洞吗?
更改:
$_SESSION['username'] == $newuser;
至:
$_SESSION['username'] = $newuser;
你正在比较而不是设置.
| 归档时间: |
|
| 查看次数: |
80 次 |
| 最近记录: |