第六周作業

[yuchun33]

登入：http://mentor-program.co/yuchun33/yuchun_week6-submit/index.html 留言板：http://mentor-program.co/yuchun33/yuchun_week6-submit/memberBoard.php @aszx87410

寫了很久但也說不出為什麼可以卡這麼久 :sweat_drops: 主要應該是上次就把 html 和 php 寫得亂，修改的時候一直出錯。 覺得觀摩同學的很有幫助，就會發現還有很多細節可以注意。

server 再給一串密碼那題是仿 Double Submit Cookie 的方式嗎？ 不清楚需不需要每次登入都重新給一次，想了幾次但還是有點不太懂設兩個 Cookie 為什麼就比較安全XD，不是都會同時存在 server 端的資料庫跟瀏覽器嗎？

剛好看到有同學是用 $sql =" SELECT user FROM table WHERE user='$variable' " 的方式，我上周也是這樣寫，這次沒有成功攻擊自己，（$variable 輸入 '; DROP table --），請問沒有攻擊成功的原因是 PHP 擋掉的嗎？

[aszx87410]

1. 不是喔，再給一串密碼跟 double submit cookie 沒什麼關係，每次登入都要再給一次當然是最好，兩個 cookie 比較安全你是指什麼意思？這邊我有點不太懂
2. 沒有成功的原因你可以自己調查一下，方向很簡單，你把那個 query 印出來，然後用 phpmyadmin 跑跑看，看是不是有錯誤還是成功就知道了

以後這種 php 作業基本上交一份就好了，不用再分 hw1, hw2 等等，因為只是額外加不同功能而已，再來你要把資料庫的帳號密碼修掉喔

[yuchun33]

@aszx87410 已訂正，謝謝! 登入：http://mentor-program.co/yuchun33/yuchun_week6/index.html 留言板：http://mentor-program.co/yuchun33/yuchun_week6/memberBoard.php

1. 訂正過改背景顏色的。
2. 把連接資料庫的檔案放到 .gitignore。
3. 是我誤會題目的意思了，原本以為是再給一個 cookie，但原來意思是就給一個由 server 端給的 cookie name（但還是沒把原本存 username 的 cookie 給刪掉，因為要用來存名字，但正確應該是要從資料庫）
4. 因為 Table name 不能用問號代替，但我原本的子留言就是一個新的表格，所以又重新改了存留言的資料庫結構。收穫是一開始就不應該讓使用者的行為可以改變資料庫的結構（原本就是求一個暫時想到可以存的方法，偷懶的心態不妥不妥~）
5. 用遠端打開來是空白的原因確實是程式碼出錯了（檢查後發現有少寫 echo、多打標籤<>、少了半個{}、幾個拼錯 :sweat_drops: :sweat_drops: :sweat_drops:）

[aszx87410]

先幫你 merge 了但其實還是有問題喔，現在就算沒有登入也可以留言