你记住 所有在 引号里面的 东西都是字符串!!!!!
创新互联公司,为您提供成都网站建设公司、成都网站制作、网站营销推广、网站开发设计,对服务水电改造等多个行业拥有丰富的网站建设及推广经验。创新互联公司网站建设公司成立于2013年,提供专业网站制作报价服务,我们深知市场的竞争激烈,认真对待每位客户,为客户提供赏心悦目的作品。 与客户共同发展进步,是我们永远的责任!
if("SELECT username,passwd FROM wen WHERE $username=$user,$passwd=$passwd"){
echo "scriptalert('欢迎登录!');window.location.href='index1.php';/script";
}
这一句代码本身就是不通的.
还有就是 你的sql语句也是错误的。
参考如下:
$sql = 'SELECT username,passwd FROM wen WHERE username="'.$user.'" AND passwd="'.$passwd.'"';
$result = mysql_query($sql,$conn);
手动回复,不谢
if($_POST[id]=='$a') $a 不能用单引号括起来,要么用双引号,要不不用,单引号扩住的话,它不会编译,只会把它堪称是字符串 $a 来看待。我说一个问题哦,仅仅是我自己理解的,你在页面传输的时候接受 id ($_POST[id]==)的值,而你又要和$a(用户名$lr[luser]; )比较( _POST[id]=='$a' ),你的用户民 是字符串,而id是数字类型的,怎么能相等...
$db=mysql_connect(连接你的数据库);
mysql_select_db('login', $db);
$u=$_POST['u'];
$p=$_POST['p'];
if($u $p){
$query=mysql_query('select * from exam where name=\''.$u.'\'',$db);
if($re=mysql_fetch_array($query,MYSQL_ASSOC)$re['password']==$p){
exit('scriptalert(\'登陆成功\');history.back();/script');
}else{
exit('scriptalert(\'用户名不存在,或密码错误\');history.back();/script');
}
}
即便用户输入了一些恶意的id参数,系统也会强制转换成整型,避免恶意注入。这是因为,系统会对数据进行强制的数据类型检测,并且对数据来源进行数据格式转换。而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
而且,你在验证的时候尽量使用数组查询,这样会比较安全,比如:
$map['username']=I('post.name');
$map['userpassword']=I('post.password');
$list=$data=D("user")-where($map)-find();
这样就好了
