Wie verhindern, dass doppelte Benutzernamen in php/mysql

(Dies ist mein Erster Versuch mit php)

Ich habe eine sehr einfache registrieren Seite.
http://graves-incorporated.com/test_sites/member_test/register/register.php

* Ich erinnerte mich nur PHP-code nicht zeigen, bis in der Quelle, also hier ist es:

enter code here
<?php
include('connection.php');

if(isset($_POST['form'])){
    if(empty($_POST['username']) || empty($_POST['password']) || empty($_POST['conf_pass']) || empty($_POST['email'])){
        echo '<b>Please fill out all fields.</b>';

    }elseif($_POST['password'] != $_POST['conf_pass']){
        echo '<b>Your Passwords do not match.</b>';
    }else{
        $url = 'http://graves-incorporated.com/test_sites/plantation_park_2012/';
        echo '<META HTTP-EQUIV=Refresh CONTENT="2; URL='.$url.'">';
        echo '<b>Congrats, You are now Registered.</b>';
        mysql_query("INSERT INTO users VALUES(NULL, '$_POST[username]', '$_POST[password]', '$_POST[email]')");     
    }
}
?>

Möchte ich sicherstellen, dass ich nicht, um doppelte Benutzer und/oder E-Mail-Adressen in der Datenbank. Ich habe ein Unique-Key in der MySQL-Benutzername und E-Mail, das verhindert, aber der Benutzer auf die tatsächliche form, die nicht wissen, es immer noch sagt Sie "herzlichen Glückwunsch, Sie sind angemeldet" oder was auch immer es sagt... haha

Also, was kann ich hinzufügen, um den php-code (und wo im code), das dies verhindern würde?

Dank für die Unterstützung dieses wichtigen noob,
Dan Graves

  • Sie brauchen, um zu überprüfen, ob insert Abfrage fehlgeschlagen oder nicht. Und wenn es das tut - siehe die Nachricht mit mysql_error()
  • könnten Sie mir sagen, genau wie Sie, dass? php-ist buchstäblich eine Fremdsprache für mich. Ich Lerne es, so schnell ich kann, aber bin noch nicht voll greifen, haha
  • Look-up-SQL-Injection-Angriffe; Ihr code ist unsicher.
  • oh wirklich? Wie kann ich das verhindern? Ich brauche keine high-level-security für diese Website
  • Das ist sehr grundlegende Sicherheit - google und Sie ' ll finden Tonnen von tutorials.
  • Diese SQL-Injection-Angriff Zeug ist Weise über meinem Kopf. Ich bin baby-stepping mit php, ich denke nicht, dass ich das know-how zu implementieren, die Verteidigung gegen diese Angriffe
  • tizag.com/mysqlTutorial/mysql-php-sql-injection.php Hier ist ein anständiges tutorial, es ist nicht schwer, gegen zu verteidigen.
  • Ich weiß nicht, wo ich bin nehme an, fügen Sie die "mysql_real_escape_string()" in meinem php-code

InformationsquelleAutor Dan Graves | 2012-03-07
  1. 5
    <?php
include('connection.php');

if(isset($_POST['form'])){
    if(empty($_POST['username']) || empty($_POST['password']) || empty($_POST['conf_pass']) || empty($_POST['email'])){
        echo '<b>Please fill out all fields.</b>';

    }elseif($_POST['password'] != $_POST['conf_pass']){
        echo '<b>Your Passwords do not match.</b>';
    }else{

        $dup = mysql_query("SELECT username FROM users WHERE username='".$_POST['username']."'");
        if(mysql_num_rows($dup) >0){
            echo '<b>username Already Used.</b>';
        }
        else{
            $url = 'http://graves-incorporated.com/test_sites/plantation_park_2012/';
            echo '<META HTTP-EQUIV=Refresh CONTENT="2; URL='.$url.'">';

            $sql = mysql_query("INSERT INTO users VALUES(NULL, '$_POST[username]', '$_POST[password]', '$_POST[email]')");     
            if($sql){
                 echo '<b>Congrats, You are now Registered.</b>';
            }
            else{
                echo '<b>Error Registeration.</b>';
            }
        }
    }
}
?>
    • Dein code funktioniert! Ein kleines problem ist allerdings, die Art, wie ich es eingerichtet haben (wahrscheinlich nicht der beste Weg) es leitet zu einer anderen website nach Fertigstellung. Nur, was ist, wenn Sie geben Sie ein Duplikat der es immer noch leitet. wenn es das ist etwas, das nicht möglich ist, kann ich Sie einfach deaktivieren Sie die automatische Weiterleitung
    • finden Sie in den aktualisierten code
    • SIE SIND DER MANN! Danke!! Dieses php-Zeug ist ein wenig kompliziert, aber ich bekomme es einer dieser Tage 😉
    InformationsquelleAutor mgraph
  2. 1

    Dem DB-Treiber verwenden Sie? Sind Sie auf der Suche nach DB-Fehler? Einige von Ihnen nur gerne Segeln Vergangenheit keine DB-Fehler und Sie haben eine Funktion aufgerufen werden, die speziell zu prüfen, für DB-Fehler. die DB sollte einen Fehler auslösen, auf doppelte Daten, und Sie können auswählen, dass der Fehler auf und der Benutzer gewarnt.

    • Ich verwende MySql 5. Ist es das, was du meinst? Wie kann ich einstellen, dass die Funktion
    • Nein, der Fahrer ist, was verbindet, um die DB. mysql, mysqli oder PDO sind alle PHP-Treiber für MySQL. Ich sehe aus Ihrem code, welchen Treiber Sie verwenden. Nachschlagen mysql_error() auf php.net und verwenden Sie, um die Prüfung für einen Fehler.
    InformationsquelleAutor James
  3. 1

    Einer Benutzeroberfläche Punkt stehen, ich denke, es wäre toll, wenn Sie die Fähigkeit haben, zu überprüfen, per ajax-request, wenn der Benutzername vorhanden ist in der db oder nicht, ist so etwas wie eine Verfügbarkeit checker.

    Würde es auch sparen Sie cpu-Zeit, wenn Sie isolieren, ein Prozess der Prüfung username Verfügbarkeit eher als die Verarbeitung alles nur um herauszufinden, dass der username ist nicht verfügbar.

    Dies über jquery, ich würde empfehlen:

    $('#checkAvailabilityButton').click(function() {
    var usernameVal = $('#usernameField').val(); //assuming this is a input text field
    $.post('checkusername.php', {username=usernameVal}, function(data) {
        alert('data');
    });
});

    Und auf Ihre php-Ende-führen Sie eine Abfrage auf die Datenbank, würde wie folgt Aussehen:

    "SELECT Username FROM users WHERE Username = 'POSTVALUE'"

if (mysql_num_rows > 0) {
    echo "Username is taken"
}

    Auch sehr, sehr vorsichtig sein, nicht zu erlauben, ungeprüfte post-Variablen in die Datenbank zu verhindern, dass SQL-Injektionen.

    Schließlich versuchen, eine bessere PHP-Datenbank extensioin wie MySQLi, die meisten STMT-Anfragen automatisch bereinigen Variablen über mysqli_prepare.

    Glück!

    • Ich bin nicht sicher, was "ungeprüfte post-Variablen" sind, aber ich bin versucht zu Lesen bis auf diesen Injection-Angriffe, aber es ist nicht wirklich macht keinen Sinn für mich, haha ich bin die definition einer php/MySql-noob
    • Lassen Sie uns nehmen Sie Ihre insert-Beispiel. Beispiel: SELECT username FROM users WHERE username='".$_POST['username'] aber der post sein x'; DROP TABLE 'username --- BAM -, die ganze Tabelle wird gelöscht.
    • oh Mann, ja ich besser Aussehen zu beheben, dass einige wie. Diese Registerseite ist nur noch per E-Mail an eine ausgewählte Anzahl von Menschen in einer Wohnung Komplex, wird es keinen link, um es überall. Denken Sie, ich müssen noch um Sie kümmern?
    InformationsquelleAutor optimum
  4. 0

    Können Sie ajax-Abfrage, bevor Sie Einreichen, um zu überprüfen/zu verhindern ist bereits vorhanden
    Auch im back-end, nachdem Sie die INSERT INTO... die Sie tun können, WÄHLEN Sie FOUND_ROWS() zu prüfen, ob es tatsächlich gleich 1 ist, bedeutet es, dass eine Zeile eingefügt.
    Dann umleiten Benutzer auf Fehler-Seite mit Informationen, was nicht korrekt ist.
    Für eine bessere Benutzer-Erfahrung, ich empfehlen die erste option, mit JQuery wird es nicht nehmen eine Menge Zeit zu implementieren.

    InformationsquelleAutor rkosegi
Schreibe einen Kommentar