另外说一下你的代码问题很多,问题一:存在注入漏洞,最经典的一句可以注入登陆的语句了,当$_POST['username']等于 admin’ or '1=1 时$_POST['userpwd']不论空与否,最后的sql语句就是
1
"SELECT * FROM `customer` WHERE `username` = 'admin' or '1=1' AND `userpwd` = '".$_POST['userpwd']."'";
这句很明显会查出用户名是admin的信息,去过滤下吧对post数据,可以使用addcslashes进行处理,不过验证等录的安全逻辑应该是先用用户名去查询该用户信息,如果存在在对于密码(如果加密了用同样加密方法处理判断是否一致,一致证明是该用户则登陆成功);问题二:empty和isset这两个语言结构建议你去看看手册,前面既然你判断了都不为空,那后面就没必要用isset了
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024