修复 PHP PDO 登录验证中用户名/邮箱验证失效问题-php教程-PHP中文网

修复 PHP PDO 登录验证中用户名/邮箱验证失效问题

花韻仙語

发布： 2025-10-02 22:09:00

原创

781人浏览过

修复 php pdo 登录验证中用户名/邮箱验证失效问题

本文旨在解决 PHP PDO 登录验证过程中，使用用户名或邮箱进行验证时，出现验证失效的问题。通过分析问题代码，找出错误原因，并提供修复后的代码示例，帮助开发者构建更安全可靠的登录系统。本文还将探讨一些安全最佳实践，以提高应用程序的整体安全性。

问题分析

原始代码中存在一个逻辑上的错误，导致在验证密码后，又执行了一次查询来获取用户信息，并且这次查询的 WHERE 子句包含了未经过哈希处理的密码。这导致了以下问题：

重复查询: 第一次查询已经验证了用户身份，没有必要再次查询。
密码不匹配: 数据库中存储的是经过哈希处理的密码，而用户输入的密码是未经过哈希处理的，所以永远无法匹配。
逻辑错误: 第二次查询的目的是什么？即使查询成功，也没有任何意义，因为第一次查询已经验证了用户身份。

解决方案

解决方案是移除第二次不必要的查询，并在第一次查询中选择需要的用户信息。

以下是修改后的 loginUser() 函数：

立即学习“PHP免费学习笔记（深入）”；

Sora

Sora是OpenAI发布的一种文生视频AI大模型，可以根据文本指令创建现实和富有想象力的场景。

538

查看详情

protected function loginUser($userID, $password) {
  $sql = "SELECT username, id, password FROM db_cms_users WHERE username = ? OR email = ?";
  $stmt = $this->connect()->prepare($sql);

  if(!$stmt->execute([$userID, $userID])) {
    $stmt = null;
    header("location: index.php?error=failstmt");
    exit();
  }

  if($stmt->rowCount() == 0) {
    $stmt = null;
    header("location: login.php?error=loginerror");
    exit();
  }

  $user = $stmt->fetchAll();
  $checkPwd = password_verify($password, $user[0]['password']);

  if($checkPwd == false) {
    header("location: index.php?error=wrongpwd");
    exit();
  }
  elseif($checkPwd == true) {
    session_start();
    $_SESSION['username'] = $user[0]['username'];
    $_SESSION['uid'] = $user[0]['id'];
    return true;
  }
}

登录后复制

代码解释：

精简查询: 修改后的 SQL 查询语句 SELECT username, id, password FROM db_cms_users WHERE username = ? OR email = ? 只选择了用户名、ID 和密码这三个必要的字段，避免了不必要的数据传输。
移除冗余查询: 移除了第二次查询，因为第一次查询已经足够验证用户身份并获取所需信息。
直接使用用户信息: 在密码验证成功后，直接从第一次查询的结果 $user 中获取用户名和 ID，并将其存储到 Session 中。