[include_once(../discuz/include/common.inc.php);$CTDF_USERINFO = array(); $CTDF_USERINFO[sid] = $sid; $CTDF_USERINFO[uid] = $di]
登录页面
login.html 负责收集用户填写的登录信息
用户名:
密 码:
登录处理
login.php 负责处理用户登录与退出动作。[之前一直没关注过web应用登录密码加密的问题,这两天用appscan扫描应用,最严重的问题就是这个了,提示我明文发送密码。这个的确很不安全,以前也大概想过,但是没有具体
//登录
if(!isset($_POST[‘submit’])){
exit(‘非法访问!’);
}
$username = htmlspecialchars($_POST[‘username’]);
$password = MD5($_POST[‘password’]);
//包含数据库连接文件
include(‘conn.php’);
//检测用户名及密码是否正确
$check_query = mysql_query(“select userid from user_list where username=’$username’ and password=’$password’ limit 1”);
if($result = mysql_fetch_array($check_query)){
//登录成功
session_start();
$_SESSION[‘username’] = $username;
$_SESSION[‘userid’] = $result[‘userid’];
echo $username,’ 欢迎你!进入 用户中心
‘;
echo ‘点击此处 注销 登录!
‘;
exit;
} else {
exit(‘登录失败!点击此处 返回 重试’);
}
//注销登录
if($_GET[‘action’] == “logout”){
unset($_SESSION[‘userid’]);
unset($_SESSION[‘username’]);
echo ‘注销登录成功!点击此处 登录‘;
exit;
}
?>
用户中心
my.php 是用户中心,作为用户登录检测。
session_start();
//检测是否登录,若没登录则转向登录界面
if(!isset($_SESSION[‘userid’])){
header(“Location:login.html”);
exit();
}
//包含数据库连接文件
include(‘conn.php’);
$userid = $_SESSION[‘userid’];
$username = $_SESSION[‘username’];
$user_query = mysql_query(“select * from user_list where userid = ‘$userid’ limit 1”);
$row = mysql_fetch_array($user_query);
echo ‘用户信息:
‘;
echo ‘用户ID:’,$userid,’
‘;
echo ‘用户名:’,$username,’
‘;
echo ‘注销 登录
‘;
?>
conn.php,用于连接数据库
$conn = mysql_connect(“127.0.0.1″,”root”,””) or die(“数据库链接错误”.mysql_error());
mysql_select_db(“info_db”,$conn) or die(“数据库访问错误”.mysql_error());
mysql_query(“set names gb2312”);
?>
[Apache服务器已经内置用户验证机制,大家只要适当的加以设置,便可以控制网站的某些部分要用户验证。第1步:我们在/usr/local/apache/htdocs/(apache的主页根目录)下建立