// 错误：使用 unset() 清除变量，这会产生警告 unset($my_variable); // 正确：使用 empty() 和 isset() 检查变量是否为空或不存在 if (empty($my_variable) || !isset($my_variable)) { // 执行动作 }

// 错误：使用 == 比较，但应使用 === if ($my_variable == 0) { // 执行动作 } // 正确：使用 === 进行严格比较 if ($my_variable === 0) { // 执行动作 }

// 错误：未过滤用户输入，可能导致安全漏洞 $my_input = $_GET['input']; // 使用 $my_input // 正确：过滤用户输入以防止注入攻击 $my_input = filter_var($_GET['input'], FILTER_SANITIZE_STRING); // 使用 $my_input

// 错误：未转义输出，可能导致跨站点脚本攻击 echo "
" . $my_output . "
"; // 正确：转义输出以防止 XSS echo "
" . htmlspecialchars($my_output) . "
";

// 错误：使用错误的方法获取数组值，可能产生错误 $my_value = $my_array[0]; // 正确：使用 isset() 和 array_key_exists() 检查数组键 if (isset($my_array[0]) && array_key_exists(0, $my_array)) { $my_value = $my_array[0]; }

// 从表单获取用户输入 $username = $_POST['username']; $password = $_POST['password']; // 检查输入是否为空 if (empty($username) || empty($password)) { echo "用户名或密码不能为空"; exit(); } // 验证用户名是否存在数据库中 $sql = "SELECT * FROM users WHERE username = ?"; $stmt = $conn->prepare($sql); $stmt->bind_param("s", $username); $stmt->execute(); $result = $stmt->get_result(); if ($result->num_rows === 0) { echo "用户名不存在"; exit(); } // 验证密码是否匹配 $user = $result->fetch_assoc(); if (!password_verify($password, $user['password'])) { echo "密码不正确"; exit(); } // 登录成功，创建会话 session_start(); $_SESSION['username'] = $username; header("Location: welcome.php");