当用户登录时显示“注销”按钮,当他不使用PHP / MySQL时显示“连接”

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (148)

layout.phtml

<?php if (isset($_SESSION['user']) && ($_SESSION['user'] == false)): ?>
    <p>Hello </p>
    <a href="logout.php">Logout</a>
<?php else: ?>
    <a href="register.php">Sign up</a>
    <a href="userconnect.php">Connect</a>
<?php endif; ?>

我想logout在用户登录时显示按钮,在connect没有登录时显示按钮。但是当发送表单数据时,它只显示connect按钮。

userconnect.phtml

有这个HTML表单。

<div class="user-connect">
  <?php if (isset($message)) { echo $message; } ?>
    <form action="userconnect.php" method="post">
        <ul>
            <li>
                <label for="email"></label>
                <input type="text" id='email' name='email'>
            </li>
            <li>
                <label for="password"></label>
                <input type="password" id='password' name='password'>
            </li>
            <li>
                <input type="submit" name="enter">
            </li>
        </ul>
    </form>
</div>

userconnect.php

<?php

session_start();

if(isset($_POST["enter"]) && !empty($_POST["enter"])) {
    if(!empty($_POST['email']) && !empty($_POST['password'])) 
    {
        $email = htmlspecialchars($_POST['email']);
        $password = htmlspecialchars(md5(md5($_POST['password'])));

        include ("connection.php");
        $query = $db->prepare('SELECT ID, email, password, firstName FROM user WHERE email = ?');
        $query->execute([$_POST['email']]);
        $user = $query->fetch();  

        if ($user) {
            if($_POST['password'] == $user['password'] && $_POST['email'] == $user['email'])
            {
                $_SESSION['user'] = [
                    'email' => $user['email'],
                    'id' => $user['ID'] 
                ];
            }
            $message = "Vous etes connectez!";
        } else {
            $message = "Invalide email ou mot de passe!";
        }
    } else {
        $message = "Champs obligatoire a saisir";
    }
}

$template = 'userconnect';
include 'layout.phtml';

倾倒$_SESSION['user']

<?php var_dump(isset($_SESSION['user'])); ?> 

显示bool(false)

你能帮我看看如何显示logout按钮吗?

我到处搜索,我找不到解决方案。

提问于
用户回答回答于

有一点问题。如果用户已登录,$_SESSION['user']则不能false。试试这样:

layout.phtml

<?php if (isset($_SESSION['user'])): ?>
    <p>Hello </p>
    <a href="logout.php">Logout</a>
<?php else: ?>
    <a href="register.php">Sign up</a>
    <a href="userconnect.php">Connect</a>
用户回答回答于

第一件事

更换

if($_POST['password'] == $user['password'] && $_POST['email'] == $user['email']

if($password == $user['password'])

您不需要$_POST['email'] == $user['email']进行检查,因为您已在查询中使用该WHERE子句检查了该项,因此您只能获得与您在POST请求中发送的电子邮件相匹配的结果。因此,$_POST['email'] == $user['email']一旦查询返回匹配的结果(email),指定就没用了。

然后,您应该使用$password而不是$_POST['password']因为您已将密码字段处理为$password具有一些散列的变量。

第二件事

不要使用htmlspecialcharshtmlentities反对用户输入。只有当您在页面上输出内容以防止类似攻击时,它才会很重要XSS

另外,我想知道在注册过程中如何处理您的密码。

UPDATE

正如您在评论中提到的那样,您可以使用password_hash函数在注册期间对密码进行哈希处理。

但在这个问题中,您使用md5(md5($_POST['password']))哈希输入并匹配数据库中的哈希密码。这不行。

相反,您应该使用password_verify哪个旨在匹配输入与生成的哈希密码password_hash

以下是您需要使用它的方法,

$password = $_POST['password'];

if ($user) {
    if(password_verify($password, $user['password'])) {
        $_SESSION['user'] = [
            'email' => $user['email'],
            'id' => $user['ID'] 
        ];
        $message = "Vous etes connectez!";
    }
}

顺便说一下,你把这句话,

$message = "Vous etes connectez!";

在密码验证条件内。

而已。

希望能帮助到你!

扫码关注云+社区

领取腾讯云代金券