php - sql查询每次都失败

Question

<html>
<head>
</head>
<body>
<form action="login_process.php" method="post">
SID: <input type="text" name="sid">
<br />
Password: <input type="text" name="pw">
<br />
<input type="submit" value="Login">
</form>
</body>
</html>

login_process.php 文件

<html>
<head>
</head>
<body>
<?php
include ("connection.php");

$sid = $_POST['sid'];
$pw = $_POST['pw'];

setcookie("username", "$sid". time()+86400);

$result = mysqli_query($con, "SELECT SID FROM student_table WHERE SID='$sid' and password='$pw'") or die('Query failed');


if(!$result){
    echo "Failed";
    } else {
        echo "success". $_COOKIE['username'];
        $_SESSION['username'] = $sid;
        }        
?>
</body>
</html>

我的student_table 中有数据。但无论我输入什么，它都会说成功。即使我在没有任何输入的情况下单击登录按钮，它仍然显示成功。请帮忙。

Answer 1

在 sql 查询中赋值时应该使用引号。

SELECT 
    SID 
FROM 
    student_table 
WHERE 
    SID = '$sid' and password = '$pw'

也期待准备好的语句来保护自己免受 sql 注入(inject)。您还应该添加下面的代码来获取选定的行:

while ($row = mysqli_fetch_array($result)) {
   $_SESSION['username'] = $row['SID'];
}