PHP/MySQL 表单不显示输出

Question

我对 PHP 和 MySQL 都很陌生，但是我目前正在学习这两种语言，以便创建一个基本网站来管理我的 RADIUS 帐户。 (我已改用 MySQL 进行用户身份验证)

我已经制作了一个将用户值插入数据库的脚本，但是我需要将其设置为如果用户帐户已存在，则无法创建重复项。

我正在使用我发现的教程来尝试创建这个，并且它在一定程度上确实有效。当我在没有重复帐户的情况下添加用户时，我会返回消息“成功”，但是当有重复用户时，返回的页面为空白，并且我不确定我做错了什么。它可行，但很烦人。

我也很好奇是否可以创建一个号码池(这些将是 IP 地址)，然后拥有它，以便在创建新用户时，使用该池中的号码，然后从该号码中删除水池。通过这样做，我希望可以自动为用户分配 IP，而不必在每次创建新用户时都手动添加它们。目前，为了实现一种稍微不太理想的方法，我制作了另一个脚本，该脚本显示我的表中的用户 IP 地址列表，以便人们可以添加不在该列表中的 IP。任何关于我可以在哪里学习做到这一点的建议将不胜感激，我不知道从哪里开始。

下面是我正在使用的 php 代码和表单的 html 代码。感谢您的任何帮助或建议。

<?php

define('DB_HOST', 'localhost');
define('DB_NAME', 'test');
define('DB_USER','root');
define('DB_PASSWORD','123');

$con=mysql_connect(DB_HOST,DB_USER,DB_PASSWORD) or die("Failed to connect to MySQL: " .     mysql_error());
$db=mysql_select_db(DB_NAME,$con) or die("Failed to connect to MySQL: " .      mysql_error());


function AuthAccount()
{
    $username = $_POST['username'];
    $value = $_POST['value'];
    $query = "INSERT INTO radcheck(username, attribute, op, value) VALUES ('$username',       'Cleartext-Password', ':=', '$value')";
    $data = mysql_query ($query)or die(mysql_error());
    if($data)
    {
    echo "User added to authentication database";
    }
}

function AddAccount()
{
if(!empty($_POST['username']))   
{
    $query = mysql_query("SELECT * FROM radcheck WHERE username = '$_POST[username]'")     or die(mysql_error());

    if(!$row = mysql_fetch_array($query) or die(mysql_error()))
    {
        AuthAccount();
    }
    else
    {
        echo "Username already registered";
    }
}
}
if(isset($_POST['submit']))
{
    AddAccount();
}
?>

注册页面:

<!DOCTYPE HTML>
<html>
<head>
<title>Sign-Up</title>
</head>
<body id="body-color">
<div id="Sign-Up">
<fieldset style="width:50%"><legend>Registration Form</legend>
<table border="0">
<form method="POST" action="SignUp.php">
<tr>
<td>Username</td><td> <input type="text" name="username"></td>
</tr>
<tr>
<td>Password</td><td> <input type="text" name="value"></td>
</tr>
<tr>
<td><input id="button" type="submit" name="submit" value="Sign-Up"></td>
</tr>
</form>
</table>
</fieldset>
</div>
</body>
</html>

Answer 1

你的方法充满了问题:

1. 您引入了竞争风险，即两个 session 同时尝试注册相同的用户名，最终可能会在任一 session 继续 INSERT< 之前都通过 SELECT 测试.

   如果您使用事务存储引擎(例如 Innodb)，则可以通过正确使用事务和 locking reads 来解决此问题。 ，但是简单地在数据库中施加唯一性约束并让 MySQL 完成剩下的工作要容易得多:

   ALTER TABLE radcheck ADD UNIQUE (username)
   

   然后您可以直接进入INSERT，如果用户名已存在，则会出现错误，您可以进行相应处理。

2. 将字符串内联到 SQL 中时，您不会转义它们。这不仅是一个(严重的)security vulnerability ，但它也引入了一个错误，如果有人发布包含 ' 字符的用户名或密码，您的代码将被破坏。将文字值传递为 parameters to prepared statements避免了这些问题。

3. 您正在使用古老的 PHP 扩展来访问 MySQL。它自 2006 年以来就没有更新过，并且自 2011 年以来 PHP 手册中明确不鼓励使用它。从 PHP v5.5 开始，它已被弃用，并将在未来版本中从 PHP 中完全删除。您应该切换到 improved MySQL extension , PHP Data Objects或第三方抽象层。

4. 您正在数据库中存储明文密码。如果您的数据库遭到破坏，这不仅会给您的应用程序的安全带来相当大的风险，而且还会给您的用户带来更广泛的风险(因为他们很可能对其他帐户使用相同的密码)。为了他们的利益，您应该始终使用盐对每个密码进行哈希处理；您还应该小心保护他们的浏览器和您的服务器之间的密码，例如使用 HTTPS。

关于 IP 地址的分配，您的问题没有提供有关如何选择这些地址或使用这些地址的详细信息。通常，人们会将此类事务留给现有的服务(例如 DHCP)，这些服务只需要根据您的策略要求进行配置。