Fatal编程技术网
  • php/
  • Php 登录脚本有时允许访问错误的帐户

Php 登录脚本有时允许访问错误的帐户

php authentication

Php 登录脚本有时允许访问错误的帐户,php,authentication,Php,Authentication,我有以下注册码: //Register user if (isset($_POST['btnRegister'])) { //Check if mail already exists $stmt = $conn->prepare("SELECT email FROM user_account WHERE email=?"); $stmt->bind_param("s", $email_); $email_ =

我有以下注册码:

//Register user
if (isset($_POST['btnRegister'])) {

    //Check if mail already exists
    $stmt = $conn->prepare("SELECT email FROM user_account WHERE email=?");
    $stmt->bind_param("s", $email_);
    $email_ = $_POST['email'];
    $stmt->execute();
    $stmt->bind_result($email);
    $stmt->store_result();

    if ($stmt->num_rows > 0) {
        echo "Dit account bestaat al";
        $stmt->close();
    } else {
        $insert_id = 0;

        //Add to Database
        $stmt = $conn->prepare("INSERT INTO user_account (firstname, lastname, email, password, address, tel) VALUES (?, ?, ?, ?, ?, ?)");
        $stmt->bind_param("ssssss", $firstname_, $lastname_, $email_, $password_, $address_, $tel_);
        $firstname_ = $_POST['firstname'];
        $lastname_ = $_POST['lastname'];
        $email_ = $_POST['email'];
        $password_ = password_hash($_POST['password'], PASSWORD_DEFAULT);
        $address_ = $_POST['address'];
        $tel_ = $_POST['tel'];
        if ($stmt->execute()) {
           //Send mail

        }
        $insert_id = $stmt->insert_id;
        $stmt->close();

        $_SESSION['user_id'] = $insert_id;
    }
}
以及以下登录代码:

//Login user
    if (isset($_POST['btnLogin'])) {
        $stmt = $conn->prepare("SELECT ID, password FROM user_account WHERE email=?");
        $stmt->bind_param("s", $email_);
        $email_ = $_POST['email'];
        $stmt->execute();
        $stmt->bind_result($ID, $password);
        $stmt->fetch();

        if (password_verify($_POST['password'], $password)) {
            $_SESSION['user_id'] = $ID;
            header("Location: /account/");
        } else {
            header("Location: /index#login-of-registreer");
        }
    }
数据库表:

+------------+-----------------+------+-----+---------+----------------+
| Field      | Type            | Null | Key | Default | Extra          |
+------------+-----------------+------+-----+---------+----------------+
| ID         | bigint unsigned | NO   | PRI | NULL    | auto_increment |
| firstname  | varchar(250)    | NO   |     | NULL    |                |
| lastname   | varchar(250)    | NO   |     | NULL    |                |
| email      | varchar(250)    | NO   | UNI | NULL    |                |
| tel        | varchar(16)     | YES  |     | NULL    |                |
| password   | varchar(250)    | NO   |     | NULL    |                |
| address    | varchar(250)    | NO   |     | NULL    |                |
| postalcode | varchar(4)      | YES  |     | NULL    |                |
+------------+-----------------+------+-----+---------+----------------+
此代码在99.9%的情况下都能完美工作。当输入错误的邮件/密码时,您将无法访问,当输入正确的组合时,您将被很好地重定向到您的个人帐户空间。 电子邮件在数据库表中是唯一的

然而,我有一两个关于一个非常奇怪的病例的报告。这是一个用户试图登录,并获得了访问一个非常随机的用户帐户。 似乎
$\u会话['user\u id']
被分配了一个随机值

在一些非常罕见的情况下,这种行为存在于我的代码中,我做错了什么?我无法以任何方式复制它

谢谢

是否将用户设置为同一个不正确的帐户?报告用户的行为是否一致?否;他们被重定向到两个不同的帐户。这种行为也完全不一致。一个在注册后被直接重定向到错误的帐户(我猜),另一个只是输入了完全错误的凭据(数据库中完全不存在邮件和密码)。第一个是在注册之后,虽然很模糊,但报告也不清楚。用户是否被设置为同一个不正确的帐户?报告用户的行为是否一致?否;他们被重定向到两个不同的帐户。这种行为也完全不一致。一个在注册后被直接重定向到错误的帐户(我猜),另一个只是输入了完全错误的凭据(数据库中完全不存在邮件和密码)。第一次是在注册之后,虽然很模糊,但报告也不清楚。