php - 我的 MySQL session 无法启动

Question

如果 $count 等于 1 但不等于 1，我的 MySQL session 将启动我不知道如何修复它，我对 php 很陌生，我更喜欢使用 sha1而不是BCrypt

  <?php
     //login form
     mysql_connect("xxxxx","xxxxxx","xxxxxx") or die( mysql_error() );
     mysql_select_db("u940004575_chat");

     $myusername = stripslashes( $myusername );
     $mypassword = stripslashes( $mypassword );
     $sha1mypassword = sha1( $mypassword );
     $myusername = mysql_real_escape_string( $myusername );
     $mypassword = mysql_real_escape_string( $mypassword );
     $sha1mypassword = mysql_real_escape_string( $sha1mypassword );
     $sql = mysql_query("SELECT id FROM users WHERE username='$myusername' and         password='$sha1mypassword'")or die( mysql_error() );
     $result = mysql_query( $sql );

     if ( $sql ) {
         $count = mysql_num_rows( $sql );
     }

     if ( $count == 1 ) {
        session_register("myusername");
        session_register("mypassword"); 
        header("location:home.php");
     } else {
        echo "Wrong Username or Password";
     }
?>

如果有人能帮助我，那就太好了，我们将不胜感激。

Answer 1

您真的应该使用 PHP 的 PDO 或 MySQLi 而不是已弃用的 mysql_* 函数。

注意:使用 PHP PDO，您的参数会自动转义。

参见:this notice on PHP doc

除非您绝对需要 SHA1，否则您需要先寻找用户，然后挑战存储的密码哈希。这更便于移植，因为一些哈希算法(例如 Bcrypt)不适用于简单的字符串比较。

这引出了我的下一点:不要使用 FAST 哈希算法(SHA、MD5 等)进行密码哈希处理。这些散列算法旨在快速散列大量数据，这意味着攻击者可以为密码等小数据快速生成反向查找表。 Bcrypt、Scrypt、pbkdf2 等算法是专用哈希算法的很好示例，旨在更慢或更难为其生成查找表。

<?php
    session_start()
    $myusername = 'foo';
    $mypassword = '123';

    try {
       $pdo = new PDO('mysql:host=' . DB_HOSTNAME . ';dbname=' . DB_DATABASE, DB_USERNAME, DB_PASSWORD);
       $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    } catch ( PDOException $e ) {
       die ('ERROR: ' . $e->getMessage() );
    }

    $query = 'SELECT id, password FROM users WHERE username = :username';
    $params = array('username' => $myusername);

    $stmt = $pdo->prepare( $query );
    $stmt->execute( $params );

    // user not found?
    if ( ! $stmt->rowCount() ) {
       die ('unknown user');
    }

    $row = $stmt->fetch( PDO::FETCH_OBJ );

    // challenge password hash
    if ( $row->password == sha1( $mypassword ) ) {
       // success!
       header("location:home.php");
    } else {
       die ('wrong password');
    }

编辑:

还要确保您正在使用 session_start() 开始 session .这将允许您使用 $_SESSION 超全局变量在 PHP 后端存储 session 变量。

// run login script

$_SESSION['user_id'] = $row->id;

// redirect to an authenticated page

然后在所有经过身份验证的页面上，您可以通过 ID 查询/缓存用户并获取包含所有当前用户数据的用户对象

    session_start()
    // make sure logged in

    if ( ! $_SESSION['user_id'] ) {
       // not logged in
       // redirect to login
       die ('not logged in');
    }       
    $query = 'SELECT * FROM users WHERE id = :id';
    $stmt = $pdo->prepare( $query );
    $stmt->execute( array('id' => $_SESSION['user_id'] ) );

    $user = $stmt->fetch( PDO::FETCH_OBJ );
    print 'Hello, ' . $user->username;