- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我需要完成以下身份验证脚本。我不擅长 php/pdo,所以我不知道如何要求行数等于 1,然后根据查询结果设置 session ID。我不仅需要设置 $_SESSION['userid'],还需要根据结果设置 ['company'] 和 ['security_id']。
这是我的:
$userid = $_POST['userid'];
$password = $_POST['pass'];
if ( $userid != "" || $password != "" )
{
$sql = "SELECT * FROM contractors WHERE userid = '" . $userid . "' AND password = '" . $password . "'";
$result = $dbh->query( $sql );
} else
{
echo "login failed. Your fingers are too big";
}
可选信息:浏览器:火狐
最佳答案
永远不要使用该代码!
您在那里打开了一个非常严重的 SQL 注入(inject)。您获取的每个用户输入,无论是来自 cookie 或 CGI,还是任何地方,在用于 SQL 语句之前,都必须过滤。我可以通过尝试使用以下用户名登录来轻松闯入该系统:
user'; UPDATE contractors SET password = '1337'
...之后我可以以任何人身份登录。对不起,如果我听起来很咄咄逼人,但该代码的作用就像忘记锁上您公司的前门,而您的公司甚至可能没有警报系统。
请注意,输入是否真的来自用户并不重要(可能是预填充的,隐藏的)。从安全的角度来看,任何来自之外的任何地方都被视为包含用户的恶意输入。
据我所知,您需要使用 quote
PDO 的功能以正确清理字符串。 (在 mysql 中,这将通过 mysql_real_escape_string()
完成。)我不是 PDO 方面的专家,请注意,如果我在这里错了,请有人纠正。
此外,您可能不应该将任何密码直接存储在数据库中,而是使用散列函数创建一个掩码密码,然后还根据用户提供的密码创建散列,并匹配散列。您可以使用 PHP hash
函数来执行此操作。
至于其他问题,我不知道你在SQL SELECT上的做法是不是最好的做法。我只会选择相应的用户密码并尝试在程序中匹配它。我不认为你使用的方法有任何错误,但它看起来不合逻辑,因此我更有可能遗漏一些错误 - 如果密码和登录名会为攻击创建一个窗口。
按照您的方式进行操作,您需要注意从 PDO 获得的结果query
是 PDOStatement
,似乎没有可靠的功能来直接计算结果行的数量。你需要使用的是fetchAll
它返回一个行数组,并对其进行计数。然而,正如我所说,这一切对我来说就像是对失败敞开大门,所以我会更安全地检查代码中的密码。在这样一个对安全至关重要的地方,就我的口味而言,与实际的密码匹配同情相去甚远。
因此,要获得用户 ID 的结果密码,您可以使用 PDOStatement 的 fetch()
它从结果中返回列的内容。例如,使用 PDO::FETCH_ASSOC
将它们放入基于列名的关联数组中。
修复方法如下:
$userid_dirty = $_POST['userid'];
$password_dirty = $_POST['pass'];
$success = false; // This is to make it more clear what the result is at the end
if ($userid != "" || $password != "") {
$userid = $dbh->quote($userid_dirty);
$passwordhash = hash('sha256',$password_dirty);
$sql = "SELECT userid, passwordhash, company, security_id FROM contractors WHERE userid = ".$userid;
$result = $dbh->query( $sql );
if ($result) { // Check if result not empty, that userid exists
$result_array = $result->fetch(PDO::FETCH_ASSOC);
if ($result_array['PASSWORDHASH'] == $passwordhash) {
// login success
$success = true;
// do all the login stuff here...
// such as saving $result_array['USERID'], $result_array['COMPANY'], $result_array['SECURITY_ID'] etc.
} // else fail, wrong password
} // else fail, no such user
} else {
// fail, userid or password missing
echo ' please enter user id and password.';
}
if (!$success) {
echo ' login failed.';
}
当然,代码可以稍微清理一下,但这应该能说明需要做什么。请注意,由于密码都是散列的,并且从未在 SQL 中使用过,因此实际上不需要清理。但我把它留在那里以防万一,因为在原始代码中它被用于查询。
请注意,所有有关存储密码的代码都需要更改为存储哈希而不是密码。此外,使用 salt 是个好主意。在散列之前添加到密码中。
此外,我只是出于教育目的提供代码 - 我只是认为代码是解释如何执行此操作的最清晰的方式。所以不要把这个网站误认为是请求代码的服务。 :)
关于php认证脚本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1401454/
我有 powershell 脚本。通过调度程序,我运行 bat 文件,该文件运行 PS1 文件。 BAT文件 Powershell.exe -executionpolicy remotesigned
什么更快? 或者 $.getScript('../js/SOME.js', function (){ ... // with $.ajaxSetup({ cache: true });
需要bash脚本来显示文件 #!/bin/bash my_ls() { # save current directory then cd to "$1" pushd "$1" >/dev/nu
我有一个输入 csv 文件,实际上我需要在输入文件中选择第 2 列和第 3 列值,并且需要转换两个值的时区(从 PT 到 CT),转换后我需要替换转换后的时区值到文件。 注意: 所有输入日期值都在太平
我正在使用/etc/init.d/httpd 作为 init.d 脚本的模板。我了解文件中发生的所有内容,但以下行除外: LANG=$HTTPD_LANG daemon --pidfile=${pid
我有以下选择: python runscript.py -O start -a "-a "\"-o \\\"-f/dev/sda1 -b256k -Q8\\\" -l test -p maim\""
我对 shell 脚本完全陌生,但我需要编写一个 shell 脚本来检查文件是否存在,然后移动到另一个位置 这是我写的: 一旦设备崩溃,我就会在/storage/sdcard1/1 中收集日志 #!/
我正在使用 bash 脚本从文本文件中读取数据。 数据: 04:31 Alex M.O.R.P.H. & Natalie Gioia - My Heaven http://goo.gl/rMOa2q
这是单击按钮时运行的 javascript 的结尾 xmlObj.open ('GET', /ajax.php, true); xmlObj.send (''); } 所以这会执行根目录中的php脚本
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
我需要将文件转换为可读流以通过 api 上传,有一个使用 fs.createReadStream 的 Node js 示例。任何人都可以告诉我上述声明的 python 等价物是什么? 例子 const
我有一个 shell 脚本 cron,它从同一目录调用 python 脚本,但是当这个 cron 执行时,我没有从我的 python 脚本中获得预期的输出,当我手动执行它时,我的 python 脚本的
如何使 XMLHttpRequest (ajax) 调用的 php 脚本安全。 我的意思是,不让 PHP 文件通过直接 url 运行,只能通过脚本从我的页面调用(我不想向未登录的用户显示数据库结果,并
我正在尝试添加以下内容 我正在使用经典的 asp。但我不断收到的错误是“一个脚本 block 不能放在另一个脚本 block 内。”我尝试了此处的 document.write 技术:Javasc
如何从另一个 PHP 脚本(如批处理文件)中运行多个 PHP 脚本?如果我了解 include 在做什么,我认为 include 不会起作用;因为我正在运行的每个文件都会重新声明一些相同的函数等。我想
我想创建具有动态内容的网页。我有一个 HTML 页面,我想从中调用一个 lua 脚本 如何调用 lua 脚本? ? ? 从中检索数据?我可以做类似的事情吗: int xx = 0; xx
我删除了我的第一个问题,并重新编写了更多细节和附加 jSfiddle domos。 我有一个脚本,它运行查询并返回数据,然后填充表。表中的行自动循环滚动。所有这些工作正常,并通过使用以下代码完成。然而
我尝试使用 amp 脚本,但收到此错误: “[amp-script] 脚本哈希未找到。amp-script[script="hello-world"].js 必须在元[name="amp-script
我有一个读取输入的 Shell 脚本 #!/bin/bash echo "Type the year that you want to check (4 digits), followed by [E
我正在从 nodejs 调用 Lua 脚本。我想传递一个数组作为参数。我在 Lua 中解析该数组时遇到问题。 下面是一个例子: var script = 'local actorlist = ARGV
我是一名优秀的程序员,十分优秀!