PHP用户注册与登录系统开发：常见陷阱与安全实践-php教程-PHP中文网

PHP用户注册与登录系统开发：常见陷阱与安全实践

本教程深入探讨php用户注册与登录系统开发中的常见问题，包括变量名冲突导致的数据存储错误、不安全的密码处理方式以及不规范的页面重定向。文章将提供详细的解决方案，涵盖使用预处理语句防止sql注入、实现安全的密码哈希存储与验证、以及采用正确的服务器端重定向机制，旨在帮助开发者构建健壮且安全的php用户管理系统。

在构建基于PHP的Web应用程序时，用户注册和登录功能是核心组成部分。然而，在实现这些功能时，开发者常常会遇到一些常见问题，例如变量名冲突、数据存储不安全以及页面重定向处理不当。本教程将针对这些问题，提供一套系统性的分析和解决方案，以帮助您构建一个更加安全和健壮的用户管理系统。

1. 核心问题分析与解决方案

1.1 变量名冲突导致的数据存储错误

问题描述： 当在同一个作用域内，数据库连接参数的变量名与用户提交的表单数据变量名相同，并且数据库连接文件在处理用户输入的脚本之后被引入时，用户输入的数据可能会被数据库连接参数覆盖。这将导致数据库中存储的不是用户实际输入的信息，而是数据库的登录凭据。

例如，在原始的 signupp.php 文件中：

<?php
if (isset($_POST["submit"])) {
    $name = $_POST["namee"];
    $email = $_POST["emaill"];
    $username = $_POST["userme"]; // 注意这里的 $username
    $password = $_POST["passme"]; // 注意这里的 $password

    require_once 'db.php'; // db.php 中也定义了 $username 和 $password
    require_once 'functions.php';

    createUser($conn, $name, $email, $username, $password);
}
else {
    header("location: signup.php");
}
?>

登录后复制

而 db.php 文件包含：

<?php
$servername = "localhost";
$username = "root"; // 这里的 $username
$password = "password"; // 这里的 $password
$dbname = "phpshop";

// Create connection
$conn = mysqli_connect($servername, $username, $password, $dbname);
// ...
?>

登录后复制

当 db.php 被 require_once 引入时，$username 和 $password 这两个变量会被 root 和 password 覆盖，导致 createUser 函数接收到的是数据库的凭据而不是用户的注册信息。

立即学习“PHP免费学习笔记（深入）”；

解决方案： 确保用户提交的表单数据变量名与数据库连接参数的变量名不冲突。最直接的方法是使用不同的变量名。

signupp.php 修正示例：

<?php
if (isset($_POST["submit"])) {
    $namee_input = $_POST["namee"];   // 使用更具描述性的变量名
    $emaill_input = $_POST["emaill"];
    $userme_input = $_POST["userme"];
    $passme_input = $_POST["passme"];

    require_once 'db.php'; // 在此之后引入 db.php
    require_once 'functions.php';

    // 将修正后的变量传递给 createUser 函数
    createUser($conn, $namee_input, $emaill_input, $userme_input, $passme_input);
} else {
    // 更好的做法是使用 header() 进行服务器端重定向
    header("location: signup.php");
    exit(); // 确保在重定向后终止脚本执行
}
?>

登录后复制

functions.php 中 createUser 函数的参数名也应与传入的变量保持一致：

<?php
function createUser($conn, $name, $email, $username, $password) {
    // ... 函数内部逻辑 ...
}
?>

登录后复制

这样，createUser 函数内部使用的 $name, $email, $username, $password 将正确地引用用户提交的数据。

1.2 不安全的密码处理与验证

问题描述： 在用户管理系统中，直接存储明文密码或采用不安全的密码验证方式是严重的安全漏洞。原始代码在 createUser 中使用了 password_hash，这是一个良好的实践，但在 loginUser 中却存在严重问题：

// functions.php 中原始的 loginUser 函数片段
function loginUser($conn, $userme, $passme) {
    $passHashed = ["passme"]; // 错误：这里不应该直接赋值字符串数组
    $checkPwd = password_verify($passme, "passme"); // 错误：不应该与硬编码字符串比较

    if ($checkPwd === false) {
        // ...
    } else if ($checkPwd === true) {
        // ...
    }
}

登录后复制

loginUser 函数中的 $passHashed = ["passme"]; 和 password_verify($passme, "passme"); 是完全错误的。password_verify 函数的第二个参数应该是从数据库中获取到的用户注册时存储的哈希密码，而不是一个硬编码的字符串。

解决方案：

注册时： 始终使用 password_hash() 函数对用户密码进行哈希处理，并将哈希值存储到数据库中。
登录时：
- 首先根据用户提供的用户名从数据库中检索出对应的哈希密码。
- 然后使用 password_verify() 函数将用户输入的明文密码与从数据库中获取的哈希密码进行比较。

functions.php 修正示例：

<?php

// ... (createUser 函数保持不变，因为它已经使用了 password_hash)

function loginUser($conn, $username_input, $password_input) {
    // 1. 根据用户名从数据库中获取用户信息（包括哈希密码）
    $sql = "SELECT * FROM GuestsLogs WHERE userme = ?;";
    $stmt = mysqli_stmt_init($conn);
    if (!mysqli_stmt_prepare($stmt, $sql)) {
        header("location: login.php?error=stmtfailed");
        exit();
    }
    mysqli_stmt_bind_param($stmt, "s", $username_input);
    mysqli_stmt_execute($stmt);

    $resultData = mysqli_stmt_get_result($stmt);

    if ($row = mysqli_fetch_assoc($resultData)) {
        // 用户存在，获取存储的哈希密码
        $hashedPwd = $row["passme"]; // 假设数据库字段名为 'passme'
        // 2. 验证用户输入的密码与数据库中的哈希密码是否匹配
        $checkPwd = password_verify($password_input, $hashedPwd);

        if ($checkPwd === false) {
            // 密码不匹配
            header("location: login.php?error=wronglogin");
            exit();
        } else if ($checkPwd === true) {
            // 密码匹配，登录成功
            session_start();
            $_SESSION["userid"] = $row["id"]; // 假设有用户ID字段
            $_SESSION["userme"] = $row["userme"];
            header("location: index.php");
            exit();
        }
    } else {
        // 用户不存在
        header("location: login.php?error=wronglogin");
        exit();
    }
    mysqli_stmt_close($stmt);
}
?>

登录后复制

注意： 数据库中存储密码的字段类型应足够长，以存储 password_hash 生成的哈希值（通常为 VARCHAR(255)）。

1.3 不规范的页面重定向与错误处理

问题描述： 原始代码中混合使用了 header("location: ...") 和 echo "<script>window.location.href='...'</script>"; 进行页面重定向。

header("location: ...") 是服务器端重定向，它通过HTTP响应头告诉浏览器跳转到新的URL。在执行 header() 后，务必使用 exit() 或 die() 终止脚本执行，以防止后续代码被意外执行。
echo "<script>window.location.href='...'</script>"; 是客户端JavaScript重定向，它依赖于浏览器执行JavaScript。这种方式在某些情况下可能被禁用或出现延迟，并且在处理POST请求后，如果用户禁用JavaScript，可能无法正确重定向。此外，在PHP脚本中直接输出HTML和JavaScript代码来控制流程，通常被认为是不够优雅且难以维护的。

解决方案： 在PHP中，对于服务器端重定向，应统一使用 header("location: ...") 配合 exit()。

signupp.php 修正示例：

<?php
if (isset($_POST["submit"])) {
    // ... 变量处理 ...
    require_once 'db.php';
    require_once 'functions.php';

    createUser($conn, $namee_input, $emaill_input, $userme_input, $passme_input);
    // 假设 createUser 成功后会重定向
} else {
    header("location: signup.php"); // 使用服务器端重定向
    exit(); // 确保终止脚本执行
}
?>

登录后复制

functions.php 中 createUser 成功后的重定向：

<?php
function createUser($conn, $name, $email, $username, $password) {
    $sql = "INSERT INTO GuestsLogs (namee, emaill, userme, passme) VALUES (?, ?, ?, ?);";
    $stmt = mysqli_stmt_init($conn);
    if (!mysqli_stmt_prepare($stmt, $sql)) {
        header("location: signup.php?error=stmtfailed"); // 错误时重定向
        exit();
    }

    $hashedPwd = password_hash($password, PASSWORD_DEFAULT);

    mysqli_stmt_bind_param($stmt, "ssss", $name, $email, $username, $hashedPwd);
    mysqli_stmt_execute($stmt);
    mysqli_stmt_close($stmt);

    header("location: signup.php?signup=success"); // 成功后重定向
    exit();
}
// ...
?>

登录后复制

2. 代码结构优化与最佳实践

除了上述核心问题，以下是一些关于代码结构和最佳实践的建议：

2.1 避免在HTML页面中直接 include 完整的HTML结构

在 signup.php 或 login.php 中直接 include_once 'index.php'; 是一个不好的实践。index.php 包含了完整的 <html>, <head>, <body> 标签。将其包含到另一个也输出HTML的页面中会导致无效的HTML结构（例如，多个 <html> 或 <body> 标签）。

讯飞听见

讯飞听见依托科大讯飞的语音识别技术，为用户提供语音转文字、录音转文字等服务，1小时音频最快5分钟出稿，高效安全。

105

查看详情

推荐做法： 使用独立的页眉（header）和页脚（footer）文件，例如 header.php 和 footer.php，它们分别包含HTML文档的开始和结束部分，以及共享的导航或样式链接。

header.php 示例：

<?php session_start(); ?>
<!DOCTYPE html>
<html lang="en">
<head>
    <title>PHP Login System</title>
    <meta charset="utf-8">
    <style>
        body { font: 1em sans-serif; }
    </style>
</head>
<body>
    <nav>
        <a href="/">Home</a>
        <?php if (isset($_SESSION["userme"])): ?>
            <a href='profile.php'>Profile</a>
            <a href='logout.php'>Log Out</a>
        <?php else: ?>
            <a href='/signup.php'>Sign Up</a>
            <a href='/login.php'>Log In</a>
        <?php endif; ?>
    </nav>
    <h1>Welcome</h1>

登录后复制

footer.php 示例：

    <footer>
        <p>&copy; 2023 My PHP Shop</p>
    </footer>
</body>
</html>

登录后复制

signup.php 示例：

<?php
include_once 'header.php'; // 包含页眉
?>

<h2>Sign Up</h2>
<form action="signupp.php" method="post">
    <input type="text" name="namee" placeholder="Full name..">
    <input type="email" name="emaill" placeholder="email..">
    <input type="text" name="userme" placeholder="username..">
    <input type="password" name="passme" placeholder="password..">
    <button type="submit" name="submit">Sign Up</button>
</form>

<?php
include_once 'footer.php'; // 包含页脚
?>

登录后复制

2.2 数据库连接的安全性与错误处理

db.php 文件中的数据库连接信息应妥善保管，避免泄露。对于生产环境，不建议将数据库凭据直接硬编码在文件中，可以考虑使用环境变量或配置文件。

db.php 示例：

<?php
$servername = "localhost";
$username = "root";
$password = "password"; // 生产环境请勿使用弱密码或明文密码
$dbname = "phpshop";

// 创建连接
$conn = mysqli_connect($servername, $username, $password, $dbname);

// 检查连接
if (!$conn) {
  die("数据库连接失败: " . mysqli_connect_error());
}
// 设置字符集，防止中文乱码
mysqli_set_charset($conn, "utf8mb4");
?>

登录后复制

2.3 SQL 注入防护（预处理语句）

原始代码在 createUser 和 loginUser 中使用了 mysqli_stmt_init 和 mysqli_stmt_prepare，这是非常好的实践，可以有效防止SQL注入攻击。务必确保所有与用户输入交互的数据库操作都使用预处理语句。

3. 完整示例代码（关键文件修订）

基于上述分析和建议，以下是关键文件的修订版本：

db.php

<?php
$servername = "localhost";
$username = "root";
$password = "password"; // 实际项目中请使用更安全的密码和配置方式
$dbname = "phpshop";

$conn = mysqli_connect($servername, $username, $password, $dbname);

if (!$conn) {
  die("Connection failed: " . mysqli_connect_error());
}
mysqli_set_charset($conn, "utf8mb4"); // 推荐设置字符集
?>

登录后复制

functions.php

<?php

function createUser($conn, $name, $email, $username, $password) {
    $sql = "INSERT INTO GuestsLogs (namee, emaill, userme, passme) VALUES (?, ?, ?, ?);";
    $stmt = mysqli_stmt_init($conn);
    if (!mysqli_stmt_prepare($stmt, $sql)) {
        header("location: signup.php?error=stmtfailed");
        exit();
    }

    $hashedPwd = password_hash($password, PASSWORD_DEFAULT); // 对密码进行哈希

    mysqli_stmt_bind_param($stmt, "ssss", $name, $email, $username, $hashedPwd);
    mysqli_stmt_execute($stmt);
    mysqli_stmt_close($stmt);

    header("location: signup.php?signup=success"); // 注册成功后重定向
    exit();
}

function loginUser($conn, $username_input, $password_input) {
    $sql = "SELECT * FROM GuestsLogs WHERE userme = ?;";
    $stmt = mysqli_stmt_init($conn);
    if (!mysqli_stmt_prepare($stmt, $sql)) {
        header("location: login.php?error=stmtfailed");
        exit();
    }
    mysqli_stmt_bind_param($stmt, "s", $username_input);
    mysqli_stmt_execute($stmt);

    $resultData = mysqli_stmt_get_result($stmt);

    if ($row = mysqli_fetch_assoc($resultData)) {
        $hashedPwd = $row["passme"]; // 从数据库获取哈希密码
        $checkPwd = password_verify($password_input, $hashedPwd); // 验证密码

        if ($checkPwd === false) {
            header("location: login.php?error=wronglogin");
            exit();
        } else if ($checkPwd === true) {
            session_start();
            $_SESSION["userid"] = $row["id"]; // 假设有用户ID
            $_SESSION["userme"] = $row["userme"];
            header("location: index.php");
            exit();
        }
    } else {
        header("location: login.php?error=wronglogin"); // 用户不存在或密码错误
        exit();
    }
    mysqli_stmt_close($stmt);
}

登录后复制

signupp.php

<?php
if (isset($_POST["submit"])) {
    $namee_input = $_POST["namee"];
    $emaill_input = $_POST["emaill"];
    $userme_input = $_POST["userme"];
    $passme_input = $_POST["passme"];

    require_once 'db.php';
    require_once 'functions.php';

    createUser($conn, $namee_input, $emaill_input, $userme_input, $passme_input);
} else {
    header("location: signup.php");
    exit();
}
?>

登录后复制

loginn.php

<?php
if (isset($_POST["submit"])) {
    $userme_input = $_POST["userme"];
    $passme_input = $_POST["passme"];

    require_once 'db.php';
    require_once 'functions.php';

    loginUser($conn, $userme_input, $passme_input);
} else {
    header("location: index.php");
    exit();
}
?>

登录后复制

header.php (作为公共头部)

<?php session_start(); ?>
<!DOCTYPE html>
<html lang="en">
<head>
    <title>PHP Login System</title>
    <meta charset="utf-8">
    <style>
        body { font: 1em sans-serif; }
        nav a { margin-right: 15px; }
    </style>
</head>
<body>
    <nav>
        <a href="index.php">Home</a>
        <?php if (isset($_SESSION["userme"])): ?>
            <a href='profile.php'>Profile</a>
            <a href='logout.php'>Log Out</a>
        <?php else: ?>
            <a href='signup.php'>Sign Up</a>
            <a href='login.php'>Log In</a>
        <?php endif; ?>
    </nav>
    <h1>PHP Login System</h1>

登录后复制

footer.php (作为公共底部)

    <footer>
        <p>&copy; <?php echo date("Y"); ?> My PHP Shop</p>
    </footer>
</body>
</html>

登录后复制

index.php

<?php
include_once 'header.php';
?>
    <p>Welcome to the home page!</p>
    <?php
        if (isset($_SESSION["userme"])) {
            echo "<p>Hello, " . $_SESSION["userme"] . "!</p>";
        } else

登录后复制

以上就是PHP用户注册与登录系统开发：常见陷阱与安全实践的详细内容，更多请关注php中文网其它相关文章！