Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP & SQL

Meerdere malen registreren

Waflix - 05/08/2011 09:11 (laatste wijziging 05/08/2011 09:18)

Lid

Ik ben verder gaan werken aan mijn site, en ging mijn registratieformulier testen. Het bleek echter dat het mogelijk was om je account te kopiëren door de pagina te herladen wanneer je het bericht kreeg dat je succesvol bent geregistreerd, en dat is natuurlijk niet de bedoeling.

reg.php

php code - Bekijk de code zonder highlighting - Klap code in

<?php
	if(isset($_POST['regSubmit'])){
		if( $_SESSION['security_code'] == $_POST['security_code'] && !empty($_SESSION['security_code'])){
			if(!strcmp($_POST['regPass1'], $_POST['regPass2'])) {
				if(!empty($_POST['regNaam'])){
					if(!empty($_POST['regPass1'])){
						if(!empty($_POST['regMail1'])){
							if(mysql_num_rows($res) == 0) {
								if(!strcmp($_POST['regMail1'], $_POST['regMail2'])) {
									$pass = md5($_POST['regPass1']);
									$name = $_POST['regNaam'];
									$mail = md5($_POST['regMail1']);
									mysql_query("INSERT INTO members (naam, wachtwoord, mail) VALUES ('".$name."','".$pass."','".$mail."')") or die(mysql_error());
									echo"You've succesfully been registered!";
								} else {
									echo"The entered e-mailadresses don't equal!";
								}
							} else {
								echo"The entered username or e-mailadress already exists!";
							}
						} else {
							echo"You must fill in your e-mailadress!";
						}
					} else {
						echo"You must fill in a password!";
					}
				} else {
					echo"You must fill in a username!";
				}
			} else {
				echo"The entered passwords don't equal!";
			}
		} else {
			echo"You didn't fill the Captcha in correctly!";
		}
	} else {
?>

<?php
	if(isset($_POST['regSubmit'])){
		if( $_SESSION['security_code'] == $_POST['security_code'] && !empty($_SESSION['security_code'])){
			if(!strcmp($_POST['regPass1'], $_POST['regPass2'])) {
				if(!empty($_POST['regNaam'])){
					if(!empty($_POST['regPass1'])){
						if(!empty($_POST['regMail1'])){
							if(mysql_num_rows($res) == 0) {
								if(!strcmp($_POST['regMail1'], $_POST['regMail2'])) {
									$pass = md5($_POST['regPass1']);
									$name = $_POST['regNaam'];
									$mail = md5($_POST['regMail1']);
									mysql_query("INSERT INTO members (naam, wachtwoord, mail) VALUES ('".$name."','".$pass."','".$mail."')") or die(mysql_error());
									echo"You've succesfully been registered!";
								} else {
									echo"The entered e-mailadresses don't equal!";
								}
							} else {
								echo"The entered username or e-mailadress already exists!";
							}
						} else {
							echo"You must fill in your e-mailadress!";
						}
					} else {
						echo"You must fill in a password!";
					}
				} else {
					echo"You must fill in a username!";
				}
			} else {
				echo"The entered passwords don't equal!";
			}
		} else {
			echo"You didn't fill the Captcha in correctly!";
		}
	} else {
?>

Dus, bij het bericht "You've succesfully been registered!" kun je de pagina herladen om zo je account te dupliceren, omdat de gegevens ook opnieuw worden verzonden naar de database.

Hoe kan ik dit voorkomen?

5 antwoorden

Gesponsorde links

GTW - 05/08/2011 09:13 (laatste wijziging 05/08/2011 09:14)
PHP gevorderde		Ik zie hier nergens een punt waar je controleert of de username al bestaat. Die check is altijd wel handig. laat maar, zie hem al... klopt deze query wel dan? Als je hem kunt kopieren, dan vindt deze dus altijd 0.

Waflix - 05/08/2011 09:14 (laatste wijziging 05/08/2011 09:21)
Lid		^ Dat gebeurt wel: php code - Bekijk de code zonder highlighting - Klap code in if(mysql_num_rows($res) == 0) { // Verder controleren } else { echo"The entered username or e-mailadress already exists!"; } if(mysql_num_rows($res) == 0) { // Verder controleren } else { echo"The entered username or e-mailadress already exists!"; } ---- De query klopt wel degelijk. Maar wanneer je de pagina herlaadt nadat je account is toegevoegd, weet hij dat het formulier al is verzonden, maar kijkt niet alles nog een keer na, hij verzend de query gewoon nog een keer. Ik had net (na een test) 3 keer hetzelfde account met hetzelfde wachtwoord en e-mailadres. (Uiteraard wel een ander ID). ---- PS: Kleine revisie in code, gaf verkeerde error weer. PPS: Hij checkt helemaal niet of de gebruikersnaam al bestaat. Ik heb net gewoon, door opnieuw het registratieformulier in te vullen een 'admin'-account aangemaakt.

lemoinet - 05/08/2011 09:26
PHP gevorderde		je voert "mysql_num_rows($res) == 0" uit, maar ik kan nergens vinden wat "$res" is.

Waflix - 05/08/2011 09:32 (laatste wijziging 05/08/2011 09:40)
Lid		^ Weet ik. Ik dacht al dat het niet zou werken, maar het bleek ineens wel te werken. Ik kreeg namelijk een error waarin werd gezegd dat de gebruikersnaam al bestond. Achteraf bleek dat ik de haakjes verkeerd had gezet en daardoor een verkeerde error werd weergegeven. ...en nu? Hoe check ik of de naam en/of het e-mailadres al bestaat in een tabel?

Martijn2008 - 06/08/2011 16:45 (laatste wijziging 06/08/2011 16:48)

PHP beginner

Heb je zelf al wat code geschreven? Van enkel vragen leer je namelijk niet veel. Onderstaande code heb ik voor je geschreven, maar heb die code niet getest. Dat mag jij doen. Laat je horen of het werkt? Succes!

php code - Bekijk de code zonder highlighting - Klap code in


// Deze methode voorkomt SQL injectie
function EscapeString($string)
{
	return mysql_real_escape_string($string);
}

// Deze methode controleert of een gebruikersnaam al bestaat in de database
function ExistAccountAlreadyByUsername($username)
{
	$result = false;
	$context = mysql_query("SELECT * FROM members WHERE naam='" . EscapeString($username) . "'") or die (mysql_error());
	if(mysql_num_rows($context) > 0)
	{
		result = true;
	}
	return $result;
}

// Deze methode controleert of een mail al bestaat in de database
function ExistAccountAlreadyByMail($mail)
{
	$result = false;
	$context = mysql_query("SELECT * FROM members WHERE mail='" . EscapeString($mail) . "'") or die (mysql_error());
	if(mysql_num_rows($context) > 0)
	{
		result = true;
	}
	return $result;
}

// Aanroepen van methode ExistAccountAlreadyByUsername en POST-waarde meesturen
if(ExistAccountAlreadyByUsername($_POST['regNaam']))
{
	echo "Gebruikersnaam bestaat al";
}

// Aanroepen van methode ExistAccountAlreadyByMail en POST-waarde meesturen
elseif(ExistAccountAlreadyByMail($_POST['regMaill']))
{
	echo "Mail bestaat al";
}

// Deze methode voorkomt SQL injectie
function EscapeString($string)
{
	return mysql_real_escape_string($string);
}
 
// Deze methode controleert of een gebruikersnaam al bestaat in de database
function ExistAccountAlreadyByUsername($username)
{
	$result = false;
	$context = mysql_query("SELECT * FROM members WHERE naam='" . EscapeString($username) . "'") or die (mysql_error());
	if(mysql_num_rows($context) > 0)
	{
		result = true;
	}
	return $result;
}
 
// Deze methode controleert of een mail al bestaat in de database
function ExistAccountAlreadyByMail($mail)
{
	$result = false;
	$context = mysql_query("SELECT * FROM members WHERE mail='" . EscapeString($mail) . "'") or die (mysql_error());
	if(mysql_num_rows($context) > 0)
	{
		result = true;
	}
	return $result;
}
 
// Aanroepen van methode ExistAccountAlreadyByUsername en POST-waarde meesturen
if(ExistAccountAlreadyByUsername($_POST['regNaam']))
{
	echo "Gebruikersnaam bestaat al";
}
 
// Aanroepen van methode ExistAccountAlreadyByMail en POST-waarde meesturen
elseif(ExistAccountAlreadyByMail($_POST['regMaill']))
{
	echo "Mail bestaat al";
}

Gesponsorde links

Je moet ingelogd zijn om een reactie te kunnen posten.

Actiefste leden van de maand

Actieve forumberichten