【发布时间】:2019-08-30 08:36:14
【问题描述】:
我创建了以下 PHP 以检查数据库中是否已存在某些用户名。
如果存在且用户名+密码正确,我想在 android 中打开一个新活动,例如个人资料页面。
PHP 代码如下所示:
<?php
session_start();
$DATABASE_HOST = "XX";
$DATABASE_USER = "XX";
$DATABASE_PASS = "XX";
$DATABASE_NAME = "XX";
$con = mysqli_connect($DATABASE_HOST, $DATABASE_USER, $DATABASE_PASS, $DATABASE_NAME);
if ( mysqli_connect_errno() ) {
die ('Failed to connect to MySQL: ' . mysqli_connect_error());
}
if ( !isset($_POST['username'], $_POST['password']) ) {
die ('Please fill both the username and password field!');
}
if ($stmt = $con->prepare('SELECT id, password FROM accounts WHERE username = ?')) {
$stmt->bind_param('s', $_POST['username']);
$stmt->execute();
$stmt->store_result();
}
if ($stmt->num_rows > 0) {
$stmt->bind_result($id, $password);
$stmt->fetch();
if ($_POST['password'] === $password) {
session_regenerate_id();
$_SESSION['loggedin'] = TRUE;
$_SESSION['name'] = $_POST['username'];
$_SESSION['id'] = $id;
echo 'Welcome ' . $_SESSION['name'] . '!';
} else {
echo 'Incorrect password!';
}
} else {
echo 'Incorrect username!';
}
$stmt->close();
?>
所以基本上,如果登录成功,就会创建一个名为"loggedin" 的会话。但是如何在 android 中使用它来打开新活动?
类似:
if (session == "loggedin"){
context.startActivity(new Intent(context, profile.class));
}
我也尝试使用回显消息,例如:
if ($_POST['password'] === $password) {
session_regenerate_id();
$_SESSION['loggedin'] = TRUE;
$_SESSION['name'] = $_POST['username'];
$_SESSION['id'] = $id;
echo 'Welcome ' . $_SESSION['name'] . '!';
} else {
echo 'good';
}
} else {
echo 'bad';
}
然后在我的 android studio 中检查我从 echo 中读取的结果是 good 还是 bad 并基于它来打开活动,但是我确信有更好的方法。
谢谢
【问题讨论】:
-
首先查看代码是否意味着您以纯文本形式存储了密码?其次,您至少可以使用 json 字符串进行响应
-
是的,对于这个例子,我没有使用哈希作为密码,但感谢您的注意,将在最终代码中使用 =]。你能解释一下json响应吗?
-
$_POST['password'] === $password)不要存储明文... 见Safe Password Hashing ... 另外===旨在尽快进行检查,因为它会在错误时短路。所以这使得===prone for timing attacks -
另外
} else { echo 'Incorrect password!'; } } else { echo 'Incorrect username!'; }正在让位于大量信息,当用户名存在时,您暗示可能是黑客,这使得暴力破解变得更加容易......您应该或多或少地使用更一般的消息 “用户名密码组合不正确” -
谢谢伙计,我在原始代码中使用了它们,我只是删除了它们,因为我认为它会简化我的问题。会用你的小费。