Question

我有使用用户名和密码的简单格式。我想申请一个白色名单,只允许某些特性。我有意知道任何人是否需要这样做,但这里是检索用户名和密码的代码:

$stmt = $conn2->prepare("SELECT username FROM users WHERE username = ? AND password = ?");

$stmt->bind_param("ss", $username, $password);      
$stmt->execute();
$stmt->store_result();

我也这样做:

preg_replace( "/[^a-zA-Z0-9_]/", "", $stringToFilter );

如果是的话,我是在什么地方把它列入我的法典? 如果用户试图提供除白名单上的内容以外的内容,会发生什么情况?

ADDED: 是否在登记期间使用INSERT储存用户名和密码?

//insert data
$stmt = $conn2->prepare("INSERT INTO users (username, email, password) VALUES (?, ?, ?)");

//bind the parameters
$stmt->bind_param( sss , $username, $email, $password);

Answer 1

在登记期间,在<代码>INSERT之前添加过滤代码。检查测验在过滤后没有空洞,因此,没有插入“密码”的用户名!

$username_clean = preg_replace( "/[^a-zA-Z0-9_]/", "", $_POST[ username ] );

if (!strlen($username_clean)){

    die("username is blank!");
}

$stmt = $conn2->prepare("INSERT INTO users (username, email, password) VALUES (?, ?, ?)");
$stmt->bind_param( sss , $username_clean, $email_clean, $password_clean);

友情链接