时间戳

首页 > 解决方案 > laravel 登录在 url 中显示密码和 id

php - laravel 登录在 url 中显示密码和 id

问题描述

我在 laravel 中创建了一个登录名,实际上是 laravel 的新手,该网站已经在 laravel 中创建,我尝试添加登录名并在其中注册,welcome.blade.php 中的登录名如下:

<?php
$username = "";
$errors = array();
$db = mysqli_connect('localhost', 'root', 'root', 'test');

$user_check_query = "SELECT * FROM registers WHERE username='$username' LIMIT 1";
  $result = mysqli_query($db, $user_check_query);
  $user = mysqli_fetch_assoc($result);

  if ($user) { // if user exists
    if ($user['username'] === $username) {
      array_push($errors, "Username already exists");
    }}

?>

<form method="get" action="">
    
    
    <div style="width: 300px;">    
        <input type="text" name="username" class="form-control" placeholder="Username"  >
    </div>
    
        <br>
        <div style="width: 300px;"> 
        <input type="password" name="password" class="form-control" placeholder="Password" >
        </div>
    <br>
    
        <button type="submit" class="btn" name="login_user">Login</button>
   
    
  </form>
<?php if (isset($_GET['login_user'])) {
  $username = mysqli_real_escape_string($db, $_GET['username']);
  $password = mysqli_real_escape_string($db, $_GET['password']);

  if (empty($username)) {
    array_push($errors, "Username is required");
  }
  if (empty($password)) {
    array_push($errors, "Password is required");
  }

  if (count($errors) == 0) {
    
    $query = "SELECT * FROM registers WHERE username='$username' AND password='$password'";
    $results = mysqli_query($db, $query);
    if (mysqli_num_rows($results) == 1) {
      $_SESSION['username'] = $username;
      $_SESSION['success'] = "You are now logged in";
      header('location: index.php');
    }else {
        array_push($errors, "Wrong username/password combination");
    }
  }
}?>

每当我尝试登录时,它都不会登录,而是重新加载同一页面并在 url 中显示输入的密码和用户名,如下所示

http://demo.website/teia/members/?username=test&password=testing&login_user=

谁能告诉我我的代码有什么问题

标签: phphtmlsqllaravel

解决方案

您在表单中使用了错误的方法。GET方法总是使用输入数据生成 URI,这在处理数据(例如用户个人信息)时确实是一个巨大的漏洞。GET 用于从指定资源请求数据,查询字符串在 GET 请求的 URL 中发送。

关于 GET 请求的其他一些说明:

  • GET 请求可以被缓存
  • GET 请求保留在浏览器历史记录中
  • GET 请求可以添加书签
  • 处理敏感数据时绝不应使用 GET 请求
  • GET 请求有长度限制

为防止这种情况发生,请使用 POST 方法。POST 用于向服务器发送数据。使用 POST 发送到服务器的数据存储在 HTTP 请求的请求体中,而不是存储在 URI 中,这样更安全。

关于 POST 请求的其他一些说明:

  • POST 请求永远不会被缓存
  • POST 请求不会保留在浏览器历史记录中
  • 不能为 POST 请求添加书签
  • POST 请求对数据长度没有限制

将您的表单更改为:

<form method="POST" action="">

参考:w3schools

编辑:不要忘记将您的路线也更改为 POST。

推荐阅读