基本HTTP身份驗證

Question

我在使HTTP授權正常工作時遇到一些困難。出於某種原因，我所得到的是彈出框，詢問用戶名和密碼。這是我正在使用的代碼。有人能告訴我我要去哪裏嗎？

if ( !isset( $_SERVER['PHP_AUTH_USER'] ) || !isset( $_SERVER['PHP_AUTH_PW'] )) 
{ 
    authorizeUser(); 
    //if no result, there is no user 
} 
else 
{ 
    $user = htmlentities(trim($_SERVER['PHP_AUTH_USER'])); 
    $pass = htmlentities(trim($_SERVER['PHP_AUTH_PW'])); 
    $pass = md5($_SERVER['PHP_AUTH_PW']); 

    //connect to MySQL data here// 


    $sql = "SELECT user_name,pwd FROM tableName WHERE user_name='$user' AND pwd='$pass'"; 
    $result = mysql_query($sql); 
    if(mysql_num_rows($result) == 0) 
    { 
     authorizeUser(); 
    } 
    else 
    { 
     header("Location: somepage"); 
    } 
} 

function authorizeUser() 
{ 
    header('WWW-Authenticate: Basic realm="Restricted Area"'); 
    header('HTTP/1.0 401 Unauthorized'); 
      echo "text if cancel button used"; 
}//end authorizedUser 

Answer 1

我要跳過SQL注入演講了，但請不要在查詢之前的密碼或用戶用戶htmlentities()。它用於將字符串顯示回瀏覽器或傳遞給url，而不是將轉義的數據與SQL結果進行比較或插入到數據庫中。如果用戶名或密碼可能有一個特殊的html字符編碼，那麼在使用之前，您需要使用html_entity_decode()進行解碼。

返回注射保護...爲了防止注射，而不通過mysqli或pdo移動到預處理語句，請使用mysql_real_escape_string()代替htmlentities();

$user = mysql_real_escape_string(html_entity_decode (trim($_SERVER['PHP_AUTH_USER']))); 
$pass = mysql_real_escape_string(html_entity_decode (trim($_SERVER['PHP_AUTH_PW']))); 
$pass = md5($pass); 

Answer 2

我認爲這可能是一個問題，因爲你只需設置的$值傳遞的兩倍，

$pass = htmlentities(trim($_SERVER['PHP_AUTH_PW'])); 
$pass = md5($_SERVER['PHP_AUTH_PW']); 

您是不是要做到這一點呢？

$pass = htmlentities(trim($_SERVER['PHP_AUTH_PW'])); 
$pass = md5($pass);