[include_once(../discuz/include/common.inc.php);$CTDF_USERINFO = array(); $CTDF_USERINFO[sid] = $sid; $CTDF_USERINFO[uid] = $di]

登录页面

login.html 负责收集用户填写的登录信息

用户名:

密 码:

登录处理

login.php 负责处理用户登录与退出动作。[之前一直没关注过web应用登录密码加密的问题，这两天用appscan扫描应用，最严重的问题就是这个了，提示我明文发送密码。这个的确很不安全，以前也大概想过，但是没有具体

//登录

if(!isset($_POST['submit'])){

exit('非法访问!');

}

$username = htmlspecialchars($_POST['username']);

$password = MD5($_POST['password']);

//包含数据库连接文件

include('conn.php');

//检测用户名及密码是否正确

$check_query = mysql_query("select userid from user_list where username='$username' and password='$password' limit 1");

if($result = mysql_fetch_array($check_query)){

//登录成功

session_start();

$_SESSION['username'] = $username;

$_SESSION['userid'] = $result['userid'];

echo $username,' 欢迎你！进入 用户中心
';

echo '点击此处 注销 登录！
';

exit;

} else {

exit('登录失败！点击此处 返回 重试');

}

//注销登录

if($_GET['action'] == "logout"){

unset($_SESSION['userid']);

unset($_SESSION['username']);

echo '注销登录成功！点击此处 登录';

exit;

}

?>

用户中心

my.php 是用户中心，作为用户登录检测。

session_start();

//检测是否登录，若没登录则转向登录界面

if(!isset($_SESSION['userid'])){

header("Location:login.html");

exit();

}

//包含数据库连接文件

include('conn.php');

$userid = $_SESSION['userid'];

$username = $_SESSION['username'];

$user_query = mysql_query("select * from user_list where userid = '$userid' limit 1");

$row = mysql_fetch_array($user_query);

echo '用户信息：
';

echo '用户ID：',$userid,'
';

echo '用户名：',$username,'
';

echo '注销 登录
';

?>

conn.php,用于连接数据库

$conn = mysql_connect("127.0.0.1","root","") or die("数据库链接错误".mysql_error());

mysql_select_db("info_db",$conn) or die("数据库访问错误".mysql_error());

mysql_query("set names gb2312");

?>

[Apache服务器已经内置用户验证机制，大家只要适当的加以设置，便可以控制网站的某些部分要用户验证。第1步：我们在/usr/local/apache/htdocs/(apache的主页根目录)下建立