本文旨在解决在使用 PHP PDO 进行用户登录验证时,由于 SQL 查询语句逻辑错误导致用户名或邮箱验证失败的问题。通过分析问题代码,我们将提供一种更简洁、安全且高效的解决方案,避免不必要的数据库查询,并提升用户体验。此外,本文还将讨论一些安全最佳实践,以防止潜在的攻击。
原代码在 loginUser() 函数中存在一个逻辑上的问题。在验证用户密码之后,它尝试执行第二个 SELECT 查询,该查询试图将原始密码与数据库中存储的哈希密码进行比较。由于数据库中存储的是哈希密码,原始密码永远不会匹配,导致验证失败。此外,这个额外的查询是不必要的,因为用户的信息已经在第一个查询中获取。
最佳解决方案是移除不必要的第二个 SELECT 查询,并在第一个查询中选择所有需要的字段(例如,用户名、ID 和密码)。这样,我们可以在验证密码后直接将用户信息存储到会话中,而无需再次查询数据库。
修改后的 loginUser() 函数如下所示:
立即学习“PHP免费学习笔记(深入)”;
protected function loginUser($userID, $password) {
$sql = "SELECT username, id, password FROM db_cms_users WHERE username = ? OR email = ?";
$stmt = $this->connect()->prepare($sql);
if(!$stmt->execute([$userID, $userID])) {
$stmt = null;
header("location: index.php?error=failstmt");
exit();
}
if($stmt->rowCount() == 0) {
$stmt = null;
header("location: login.php?error=loginerror");
exit();
}
$user = $stmt->fetchAll();
$checkPwd = password_verify($password, $user[0]['password']);
if($checkPwd == false) {
header("location: index.php?error=wrongpwd");
exit();
}
elseif($checkPwd == true) {
session_start();
$_SESSION['username'] = $user[0]['username'];
$_SESSION['uid'] = $user[0]['id'];
return true;
}
}代码解释:
通过遵循这些最佳实践,您可以构建一个更安全、高效的 PHP 登录系统。记住,安全性是一个持续的过程,需要不断审查和改进。
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
565
收藏
