PHP、SQL、用户数据库

Question

我希望我正确地格式化了代码。我无法使这个 if 语句起作用。我已经搜索过，从中可以看出这条语句应该有效。但是，当我运行它时，如果用户名以 kacey 开头，则无论密码如何，它都会转到 echo "Logged in as: "。凯西;同样，如果我将输入输入 kaceyfeewaf，它仍会转到 echo "Logged in as: "。 $myuser; 无论我输入的密码如何，都会发生这种情况。$result['username'] 行应该验证 KACEY。

$sql = "SELECT * FROM $dbTable WHERE username = $myuser AND password = $mypass";
$result = mysql_query($sql);

if($result['username'] = $myuser && $result['password'] = $mypass;) 
{
    echo "Logged in as: " . $myuser;    
} else {
    echo "Fail "; 
  }

Answer 1

这里有几个问题。

首先，您查询中的变量是字符串，因此需要用引号引起来:

WHERE username = '$myuser' AND password = '$mypass'

or die(mysql_error()) 到 mysql_query() 会发出语法错误信号。

然后你分配而不是比较

if($result['username'] = $myuser && $result['password'] = $mypass;) 

使用两个等号==

但是，这不是检查这些行是否存在的方式。

在使用函数获取/迭代找到的结果时，您需要使用 mysql_num_rows() 或使用 while 循环。

这是一个使用 mysqli_num_rows() 的 MySQLi 示例:

$conn=mysqli_connect("hostname","username","password","db");

$check_select = mysqli_query($conn, "SELECT * FROM `users` 
                                     WHERE email = '$email' AND pw='$pass'"); 

$numrows=mysqli_num_rows($check_select);

if($numrows > 0){
// do something
}

现在，我们不知道这些变量的赋值位置，也不知道它是否使用具有匹配名称属性的 POST 方法。

即:

<form action="" method="post">
<input type="text" name="username">
...
</form>

$username = $_POST['username'];

我们不知道的另一件事是您用来连接的 MySQL API。确保您确实使用与查询所用的相同的数据库，即 mysql_。不同的 API 不会混用，例如 mysqli_ 或 PDO。从连接到查询使用同一个。

添加error reporting到您的文件的顶部，这将有助于查找错误。

<?php 
error_reporting(E_ALL);
ini_set('display_errors', 1);

// rest of your code

旁注:显示错误只应在试运行中进行，绝不能在生产中进行。

---

我注意到您可能以纯文本形式存储密码。如果是这种情况，非常不鼓励。

我建议您使用 CRYPT_BLOWFISH或 PHP 5.5 的 password_hash()功能。对于 PHP < 5.5，使用 password_hash() compatibility pack .

这是从 ircmaxell 的一个答案中提取的 PDO 解决方案:

• https://stackoverflow.com/a/29778421/

只需使用一个库。严重地。它们的存在是有原因的。

• PHP 5.5+:使用 password_hash()
• PHP 5.3.7+:使用 password-compat (上面的兼容包)
• 所有其他:使用 phpass

不要自己动手。如果您要创建自己的盐，您做错了。你应该使用一个库来为你处理。

$dbh = new PDO(...);

$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);

$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);

登录时:

$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
    if (password_verify($_POST['password'], $users[0]->password) {
        // valid login
    } else {
        // invalid password
    }
} else {
    // invalid username
}