layout.phtml
<?php if (isset($_SESSION['user']) && ($_SESSION['user'] == false)): ?>
<p>Hello </p>
<a href="logout.php">Logout</a>
<?php else: ?>
<a href="register.php">Sign up</a>
<a href="userconnect.php">Connect</a>
<?php endif; ?>
我想在用户登录时显示logout
按钮,在用户未登录时显示connect
按钮。但是当发送表单数据时,它只显示connect
按钮。
userconnect.phtml
这里有一个html表单。
<div class="user-connect">
<?php if (isset($message)) { echo $message; } ?>
<form action="userconnect.php" method="post">
<ul>
<li>
<label for="email"></label>
<input type="text" id='email' name='email'>
</li>
<li>
<label for="password"></label>
<input type="password" id='password' name='password'>
</li>
<li>
<input type="submit" name="enter">
</li>
</ul>
</form>
</div>
userconnect.php
<?php
session_start();
if(isset($_POST["enter"]) && !empty($_POST["enter"])) {
if(!empty($_POST['email']) && !empty($_POST['password']))
{
$email = htmlspecialchars($_POST['email']);
$password = htmlspecialchars(md5(md5($_POST['password'])));
include ("connection.php");
$query = $db->prepare('SELECT ID, email, password, firstName FROM user WHERE email = ?');
$query->execute([$_POST['email']]);
$user = $query->fetch();
if ($user) {
if($_POST['password'] == $user['password'] && $_POST['email'] == $user['email'])
{
$_SESSION['user'] = [
'email' => $user['email'],
'id' => $user['ID']
];
}
$message = "Vous etes connectez!";
} else {
$message = "Invalide email ou mot de passe!";
}
} else {
$message = "Champs obligatoire a saisir";
}
}
$template = 'userconnect';
include 'layout.phtml';
转储$_SESSION['user']
<?php var_dump(isset($_SESSION['user'])); ?>
显示bool(false)
。
您能告诉我如何显示logout
按钮吗?
我到处都找遍了,也找不到答案。
发布于 2018-07-09 01:48:44
FIRST THING
替换
if($_POST['password'] == $user['password'] && $_POST['email'] == $user['email']
使用
if($password == $user['password'])
您不需要检查$_POST['email'] == $user['email']
,因为您已经在带有WHERE
子句的查询中进行了检查,因此您只得到与您在POST
请求中发送的电子邮件相匹配的结果。因此,一旦查询返回匹配的结果(电子邮件),指定$_POST['email'] == $user['email']
就没有用了。
然后,您应该使用$password
而不是$_POST['password']
,因为您通过一些散列将密码字段处理为$password
变量。
第二件事
不要对用户输入使用htmlspecialchars
或htmlentities
。只有当您在页面上输出内容以防止像XSS
这样的攻击时,它才有意义。
另外,我想知道您的密码在注册过程中是如何处理的。
更新
正如你在评论中提到的,你在注册过程中使用password_hash
函数来散列密码。
但在问题中,您使用md5(md5($_POST['password']))
对输入进行散列,并与数据库中的散列密码进行匹配。这行不通的。
相反,您应该使用password_verify
,它旨在将输入与password_hash
生成的散列密码进行匹配。
以下是您需要使用它的方法,
$password = $_POST['password'];
if ($user) {
if(password_verify($password, $user['password'])) {
$_SESSION['user'] = [
'email' => $user['email'],
'id' => $user['ID']
];
$message = "Vous etes connectez!";
}
}
顺便说一下,你把这句话,
$message = "Vous etes connectez!";
在密码验证条件内。
就这样。
希望它能帮上忙!
发布于 2018-07-09 01:00:39
有一个小问题。如果用户已登录,则$_SESSION['user']
不能为false
。像这样试一下:
layout.phtml
<?php if (isset($_SESSION['user'])): ?>
<p>Hello </p>
<a href="logout.php">Logout</a>
<?php else: ?>
<a href="register.php">Sign up</a>
<a href="userconnect.php">Connect</a>
https://stackoverflow.com/questions/51234180
复制相似问题