PHP Developer Channel :: 討論園地

這位大大感謝你指點迷津@@
我已將
if ($submit = "Login")  改為 if ($submit == "Login")

不過當我不管用資料庫裡有的username和password或是不存在的username和password來登入,
都會停留在login.php並且整個頁面空白,請問是什麼原因所造成的?

<?
if ($submit == "Login")
{

  mysql_connect("localhost", "root") or               
    die ("Could not connect to database");

  mysql_select_db("user") or
    dir ("Could not select database");   

$result=mysql_query("select * from user where username='$username'")
             or die ("cant do it");

while ($row=mysql_fetch_array($result)) {
if ($row["password"]==$password )
  {
    header("Location: test/index.php");
  }else{
    printf("Nope");
   
   }
}
}
?>

另外, 在register那註冊以後, 都會直接跑去not.html
並不會顯示告知完成註冊..請問是否知道為什麼?

謝謝你的指導@@"
不過當我測試您的方法的時候,
它顯示有1行出現error:

else:   <- 這一行..
//有輸入
//把所有可能會 SQL injection 當然登記時不給user chose special 字元
$_POST[username]=htmlentities($_POST[username], ENT_QUOTES);
$_POST[userpasswd]=htmlentities($_POST[userpasswd], ENT_QUOTES);

請問問題在哪裡呢?

//沒有輸入
if ((empty($_POST[username])) || (empty($_POST[userpasswd]))) {

    //chose you want
    //echo 'error';
    //header("Location:xxxx"); //redirect other
    //include("xxxx.html");
    //exit();


} else {

    //有輸入
    //把所有可能會 SQL injection 當然登記時不給user chose special 字元
    $_POST[username]=htmlentities($_POST[username], ENT_QUOTES);
    $_POST[userpasswd]=htmlentities($_POST[userpasswd], ENT_QUOTES);

    $mysqlhost='*****';
    $mysqlpasswd='*****';
    $mysqluser='*****';
    $mysqldbf='*****';

    $link_ID = mysql_connect($mysqlhost,$mysqluser,$mysqlpasswd);
    mysql_select_db($mysqldbf);

    $str="SELECT * FROM your_db where username = '$_POST[username]' and userpasswd = '$_POST[userpasswd]' ;";
    $result = mysql_query($str,$link_ID);
    $record=mysql_fetch_array($result);
   
   
    if (empty($record)) {//無record

        //chose you want
        //echo 'error';
        //header("Location:xxxx"); //redirect other
        //include("xxxx.html");
        //exit();

    } else {//有record
   
        if (($_POST[userpasswd]<>$record[userpasswd]) || ($_POST[username]<>$record[username])) {//再驗一次passwd  因為太多SQL injection

            chose you want
            //echo 'error';
            //header("Location:xxxx"); //redirect other
            //include("xxxx.html");
            //exit();

        } else {

            //login 成功
            //chose you want
            //echo 'ok';
            //header("Location:xxxx"); //redirect other 當然要用cookie or session
            //include("xxxx.html");
            //exit();

        }

    }

}

不好意思我又回來了...
我的regiser雖然很簡單,不會偵測是否有htmlcode等等的,但總算是可以順利的增加username///password到資料庫了,

不過現在當我想要進階一點想要讓他能夠執行logoff,以及若是直接連結到test/index.php 會要求您先login,
問題就來了...
login和register沒問題,問題在於每當直接開啟test/index.php的時候,
便會直接出現u r now log-in test test (這是設定當判定有login的時候會顯示的)

我用的方法是設定cookie,因此在login.php裡面,當檢查username和password正確以後,

  session_start();
  session_unset();
  session_destroy();
  @ session_register("password");
  $HTTP_SESSION_VARS["password"] = $password;
  @ session_register("username");
  $HTTP_SESSION_VARS["username"] = $username;
  setcookie("rememberCookieUname",$username,(time()+604800));
  setcookie("rememberCookiePassword",md5($password),(time()+604800));
               
header("Location:test/index.php");

然後在logoff.php寫了:

  <?PHP
  session_start();
  setcookie("rememberCookieUname","session expired",(time()+604800));
  setcookie("rememberCookiePassword","X@X",(time()+604800));
  session_unset();
  session_destroy();
  header("Location: index.html");
  ?>

另外新增了一個check.php (這是include在test/index.php裡面用來判定是否有login):

<?PHP
    $rememberCookieUname = @$HTTP_COOKIE_VARS["rememberCookieUname"];
    $rememberCookiePassword = @$HTTP_COOKIE_VARS["rememberCookiePassword"];
   
    $mysqlhost='localhost';
    $mysqlpasswd='';
    $mysqluser='root';
    $mysqldbf='user';

    mysql_connect($mysqlhost,$mysqluser,$mysqlpasswd);
    mysql_select_db($mysqldbf);
   
    session_start();
   
    $query = "Select * from users where username='".@$HTTP_SESSION_VARS[username]."' And password = '".@$HTTP_SESSION_VARS[password]."'";
    $result = mysql_query($query);
    if ($row = mysql_fetch_array($result)){
        echo 'u r now log-in';
    }else{
        if ($rememberCookiePassword != "" && $rememberCookieUname != ""){
            $query = "Select * from users where username='".$rememberCookieUname."'";
            $result = mysql_query($query);
           
            if ($row = mysql_fetch_array($result)){
                if (md5($row["password"]) == $rememberCookiePassword){
                    session_unset();
                    session_destroy();
                    @ session_register("password");
                    $HTTP_SESSION_VARS["password"] = $rememberCookiePassword;
                    @ session_register("username");
                    $HTTP_SESSION_VARS["username"] =  $rememberCookieUname;
                }else{
                    die("Please log-in.");
                }
            }else{
                die("Please log-in.");
            }
        }else{
            die("Please log-in.");
        }
    }
   
   
?>

請問cookie這樣的用法正確嘛?
若是不用cookie的話是否還有其他比較簡便的方法可以完成判定是否有login的程序?

感謝賜教@@"

原來只要這短短的幾句就..................
我沒事果然很愛鑽牛角尖...
一個簡單的管理系統包含登入登出以及註冊總算是完成了...
真的非常感謝您~
終於可以繼續開發下去了