用php和mysql写一个登录脚本可以说是非常简单的事情了。把用户名和密码放在数据库中,然后每次登录时都让用户填写一个包含用户名和密码的表单,脚本利用这个用户名去查询数据库,如果没有这个用户则反馈“用户名错误”,否则检验密码是否一致。具体代码如下:
原来,mysql对于sql语句中的字符串变量也是不区分大小写的,甚至不区分首尾的空格。这让sql92或其他数据库,例如postgres的使用者感到非常震惊。如果我们利用上述代码中的session变量做其他事情,就会把mysql这个被视为“特色”的错误带到其他地方,从而引发更大的安全隐患。即使Username这个session不使用来自表单的数据,也可能在其他地方检测出这种错误,让人百思不得其解,所以我们千万不能为了回避问题,而把$_SESSION['Username'] = $user;改成$_SESSION['Username'] = $pw['Username'];。我们可以使用php的字符串比较功能来对比来自表单的用户名和来自数据库的用户名,因为php是区分大小写的,对空格也是非常敏感的。下面是正确的代码:
<?php然而,令人惊讶的是,这段看似简单也准确无误的代码却错误重重。假设数据库中有个用户叫abc,密码也是abc,而登录时的用户名分别填写Abc和a Bc(前者包含大写字母,后者不仅包含大写字母,而且包括空格),居然也能成功。
function login($user, $pass) /* {{{ */
{
global $DB;
$pw = $DB->getRow("SELECT * FROM `user` WHERE `Username`='{$user}'");
if($pw===null) return 'Illegal username.';
else if($pw['Password']!=$pass) return 'Password incorrect.';
else
{
$_SESSION['Username'] = $user;
$_SESSION['UserID'] = $pw['ID'];
return 'Ok';
}
} /* }}} */
?>
原来,mysql对于sql语句中的字符串变量也是不区分大小写的,甚至不区分首尾的空格。这让sql92或其他数据库,例如postgres的使用者感到非常震惊。如果我们利用上述代码中的session变量做其他事情,就会把mysql这个被视为“特色”的错误带到其他地方,从而引发更大的安全隐患。即使Username这个session不使用来自表单的数据,也可能在其他地方检测出这种错误,让人百思不得其解,所以我们千万不能为了回避问题,而把$_SESSION['Username'] = $user;改成$_SESSION['Username'] = $pw['Username'];。我们可以使用php的字符串比较功能来对比来自表单的用户名和来自数据库的用户名,因为php是区分大小写的,对空格也是非常敏感的。下面是正确的代码:
<?php简单的一段代码,却有这么大的文章,真是让人不得不小心谨慎啊。
function login($user, $pass) /* {{{ */
{
global $DB;
$pw = $DB->getRow("SELECT * FROM `user` WHERE `Username`='{$user}'");
if($pw===null || $pw['Username']!=$user) return 'Illegal username.';
else if($pw['Password']!=$pass) return 'Password incorrect.';
else
{
$_SESSION['Username'] = $user;
$_SESSION['UserID'] = $pw['ID'];
return 'Ok';
}
} /* }}} */
?>