php - laravel 登录在 url 中显示密码和 id
问题描述
我在 laravel 中创建了一个登录名,实际上是 laravel 的新手,该网站已经在 laravel 中创建,我尝试添加登录名并在其中注册,welcome.blade.php 中的登录名如下:
<?php
$username = "";
$errors = array();
$db = mysqli_connect('localhost', 'root', 'root', 'test');
$user_check_query = "SELECT * FROM registers WHERE username='$username' LIMIT 1";
$result = mysqli_query($db, $user_check_query);
$user = mysqli_fetch_assoc($result);
if ($user) { // if user exists
if ($user['username'] === $username) {
array_push($errors, "Username already exists");
}}
?>
<form method="get" action="">
<div style="width: 300px;">
<input type="text" name="username" class="form-control" placeholder="Username" >
</div>
<br>
<div style="width: 300px;">
<input type="password" name="password" class="form-control" placeholder="Password" >
</div>
<br>
<button type="submit" class="btn" name="login_user">Login</button>
</form>
<?php if (isset($_GET['login_user'])) {
$username = mysqli_real_escape_string($db, $_GET['username']);
$password = mysqli_real_escape_string($db, $_GET['password']);
if (empty($username)) {
array_push($errors, "Username is required");
}
if (empty($password)) {
array_push($errors, "Password is required");
}
if (count($errors) == 0) {
$query = "SELECT * FROM registers WHERE username='$username' AND password='$password'";
$results = mysqli_query($db, $query);
if (mysqli_num_rows($results) == 1) {
$_SESSION['username'] = $username;
$_SESSION['success'] = "You are now logged in";
header('location: index.php');
}else {
array_push($errors, "Wrong username/password combination");
}
}
}?>
每当我尝试登录时,它都不会登录,而是重新加载同一页面并在 url 中显示输入的密码和用户名,如下所示
http://demo.website/teia/members/?username=test&password=testing&login_user=
谁能告诉我我的代码有什么问题
解决方案
您在表单中使用了错误的方法。GET
方法总是使用输入数据生成 URI,这在处理数据(例如用户个人信息)时确实是一个巨大的漏洞。GET 用于从指定资源请求数据,查询字符串在 GET 请求的 URL 中发送。
关于 GET 请求的其他一些说明:
- GET 请求可以被缓存
- GET 请求保留在浏览器历史记录中
- GET 请求可以添加书签
- 处理敏感数据时绝不应使用 GET 请求
- GET 请求有长度限制
为防止这种情况发生,请使用 POST 方法。POST 用于向服务器发送数据。使用 POST 发送到服务器的数据存储在 HTTP 请求的请求体中,而不是存储在 URI 中,这样更安全。
关于 POST 请求的其他一些说明:
- POST 请求永远不会被缓存
- POST 请求不会保留在浏览器历史记录中
- 不能为 POST 请求添加书签
- POST 请求对数据长度没有限制
将您的表单更改为:
<form method="POST" action="">
参考:w3schools。
编辑:不要忘记将您的路线也更改为 POST。