Php 登录脚本有时允许访问错误的帐户
我有以下注册码:Php 登录脚本有时允许访问错误的帐户,php,authentication,Php,Authentication,我有以下注册码: //Register user if (isset($_POST['btnRegister'])) { //Check if mail already exists $stmt = $conn->prepare("SELECT email FROM user_account WHERE email=?"); $stmt->bind_param("s", $email_); $email_ =
//Register user
if (isset($_POST['btnRegister'])) {
//Check if mail already exists
$stmt = $conn->prepare("SELECT email FROM user_account WHERE email=?");
$stmt->bind_param("s", $email_);
$email_ = $_POST['email'];
$stmt->execute();
$stmt->bind_result($email);
$stmt->store_result();
if ($stmt->num_rows > 0) {
echo "Dit account bestaat al";
$stmt->close();
} else {
$insert_id = 0;
//Add to Database
$stmt = $conn->prepare("INSERT INTO user_account (firstname, lastname, email, password, address, tel) VALUES (?, ?, ?, ?, ?, ?)");
$stmt->bind_param("ssssss", $firstname_, $lastname_, $email_, $password_, $address_, $tel_);
$firstname_ = $_POST['firstname'];
$lastname_ = $_POST['lastname'];
$email_ = $_POST['email'];
$password_ = password_hash($_POST['password'], PASSWORD_DEFAULT);
$address_ = $_POST['address'];
$tel_ = $_POST['tel'];
if ($stmt->execute()) {
//Send mail
}
$insert_id = $stmt->insert_id;
$stmt->close();
$_SESSION['user_id'] = $insert_id;
}
}
以及以下登录代码:
//Login user
if (isset($_POST['btnLogin'])) {
$stmt = $conn->prepare("SELECT ID, password FROM user_account WHERE email=?");
$stmt->bind_param("s", $email_);
$email_ = $_POST['email'];
$stmt->execute();
$stmt->bind_result($ID, $password);
$stmt->fetch();
if (password_verify($_POST['password'], $password)) {
$_SESSION['user_id'] = $ID;
header("Location: /account/");
} else {
header("Location: /index#login-of-registreer");
}
}
数据库表:
+------------+-----------------+------+-----+---------+----------------+
| Field | Type | Null | Key | Default | Extra |
+------------+-----------------+------+-----+---------+----------------+
| ID | bigint unsigned | NO | PRI | NULL | auto_increment |
| firstname | varchar(250) | NO | | NULL | |
| lastname | varchar(250) | NO | | NULL | |
| email | varchar(250) | NO | UNI | NULL | |
| tel | varchar(16) | YES | | NULL | |
| password | varchar(250) | NO | | NULL | |
| address | varchar(250) | NO | | NULL | |
| postalcode | varchar(4) | YES | | NULL | |
+------------+-----------------+------+-----+---------+----------------+
此代码在99.9%的情况下都能完美工作。当输入错误的邮件/密码时,您将无法访问,当输入正确的组合时,您将被很好地重定向到您的个人帐户空间。
电子邮件在数据库表中是唯一的
然而,我有一两个关于一个非常奇怪的病例的报告。这是一个用户试图登录,并获得了访问一个非常随机的用户帐户。
似乎$\u会话['user\u id']
被分配了一个随机值
在一些非常罕见的情况下,这种行为存在于我的代码中,我做错了什么?我无法以任何方式复制它
谢谢 是否将用户设置为同一个不正确的帐户?报告用户的行为是否一致?否;他们被重定向到两个不同的帐户。这种行为也完全不一致。一个在注册后被直接重定向到错误的帐户(我猜),另一个只是输入了完全错误的凭据(数据库中完全不存在邮件和密码)。第一个是在注册之后,虽然很模糊,但报告也不清楚。用户是否被设置为同一个不正确的帐户?报告用户的行为是否一致?否;他们被重定向到两个不同的帐户。这种行为也完全不一致。一个在注册后被直接重定向到错误的帐户(我猜),另一个只是输入了完全错误的凭据(数据库中完全不存在邮件和密码)。第一次是在注册之后,虽然很模糊,但报告也不清楚。