php - SQL:条件语法错误和 mysql_fetch_object 误用

Question

我正在尝试使用 SQL 和 PHP 创建一个登录系统。我有一个包含三个字段的标准数据库:用户名、密码和授权级别。由于某种原因，当我测试代码时，即使我使用正确的访问级别和正确的凭据，登录也会失败。在我将访问级别检查器添加到 PHP 之前，代码可以正常运行，但现在它返回登录失败错误。

    //If there are input validations, redirect back to the login form
    if($errflag) {
        $_SESSION['ERRMSG_ARR'] = $errmsg_arr;
        session_write_close();
        header("location: login-test.php");
        exit();
    }

    //Create query
    $qry="SELECT * FROM members WHERE username='$username' AND password='$password'";
    $result=mysql_query($qry);
    $row = mysql_fetch_object($qry);

    //Check whether the query was successful or not
    if($result) {
        if(mysql_num_rows($result) == 1 && $row->authlevel == "admin") {
            //Login Successful
            session_regenerate_id();
            $member = mysql_fetch_assoc($result);
            $_SESSION['SESS_MEMBER_ID'] = $member['username'];
            $_SESSION['SESS_FIRST_NAME'] = $member['firstname'];
            $_SESSION['SESS_LAST_NAME'] = $member['username'];
            session_write_close();
            header("location: admin_index.php");
            exit();
        } else {
            //Login failed
            header("location: login-failed.php");
        }
    }else {
        die("Query failed");
    }
?>

Answer 1

正如我在评论中所说，使用 PDO 或 mysqli 和准备好的语句。有人可以把这个放进去

  '; Select * from members where authLevel = "admin" limit 1 --

对于 $username 并以管理员身份登录。这就是原因

 SELECT * FROM members WHERE username=''; Select * from members where authLevel = "admin" limit 1 -- AND password='ababsdf'

这就是您查询的内容，-- 是 MySql 的注释方式，因此后面的任何内容都将被忽略。本质上，我只是告诉它选择一个具有 authLevel 管理员权限的用户，并将其限制为一个结果。

更新至于答案有2种可能，

• 1 authLevel 错误，

• 2，更有可能的是您有重复的用户记录。所以行数检查失败

此外，admin 与带有空格的 Admin 或 ADMIN 或 [space]admin 不同。 PHP 中的字符串比较区分大小写。

无论该条件是否失败，因此其中的一项或两项都不为真。你所要做的就是这个

  echo 'NumRows: '.mysql_num_rows($result);
  echo "<br>\n";
  echo 'AuthLevel: '.$row->authlevel;

简单来说，只要输出它们，它就会变得相当明显。还要注释掉 header 重定向(这样您就不会被踢到其他页面)

       //header("location: login-failed.php"); -- un-comment when fixed.

对于 authlevel，您可能需要将其括在像这样的括号中

    echo 'AuthLevel: ['.$row->authlevel.']';

为什么？因为如果是这样的话

    [  admin]

然后你可以看到里面有一个空格或者其他东西。根据您的情况这样做并不是一个坏主意

    if( strtolower( trim( $row->authlevel ) ) == 'admin' ...

PDO 或 mysqli 实际上并没有那么难，您想要添加至少 sha256 的盐添加加密(或使用 password_hash() )基本上您的代码如下所示

$dsn = 'mysql:host=127.0.0.1;dbname=members;';
$user = 'db_user';
$password = '*******';

try {
    $DB = new PDO($dsn, $user, $password);
} catch (PDOException $e) {
    die('Connection failed: ' . $e->getMessage());
}

$qry="SELECT * FROM members WHERE username=:username";  ///( add field named salt, this is a random string )
//search only for username 

///$DB is pdo database object
//prepare the sql, this 2 step process prevent sql injection by using a placeholder :username instead of the variable directly
$stmt = $DB->prepare( $qry );
 //execute the statement with variables
$stmt->execute( array(':username' => $username ) );
//retrieve the result row as an object.
$row = $stmt->fetch( PDO::FETCH_OBJ );
//Check whether the query was successful or not
if($stmt->rowCount() == 1 ) {
    if($row->authlevel == "admin") {  //if it's not an admin no need to check password
        if( sha256( $row->salt() . $password ) == $row->password ){
             //Check password in php, db is case insensitive unless its a binary field.
            //Login Successful ( obviously youll want to update the member to account for a better password )
            .....
        }else{
            header("location: login-failed.php"); //change for bad password etc.
        }
    } else {
        //Login failed
        header("location: login-failed.php");  //change for invalid user level ( you do not have authorization to view this page ... etc. )
    }
}else {
    die("Query failed"); //change for username not found, or unknown username
}

http://php.net/manual/en/pdo.construct.php

http://php.net/manual/en/function.password-hash.php

除了安全原因之外，从 PHP7 开始，mysql_* 函数已经消失，所以最好不要习惯使用它们。