PHP mysql查询语法错误

时间:2012-09-09 10:04:13

标签: php mysql sql

我是PHP / MySQL的新手,我似乎遇到了新手问题。

无论我改变什么,下面的代码都会让我犯错误,而且我觉得它必须在我正在弄乱的语法中的某个地方。这一切都在家里'localhost'工作,但现在我正试图在网上主持它似乎更多的空间与空间和诸如此类的东西。

这是一个简单的登录系统,问题代码如下:

<?php
session_start();
require 'connect.php';
echo "Test";

//Hash passwords using MD5 hash (32bit string).
$username=($_POST['username']);
$password=MD5($_POST['password']);

//Get required information from admin_logins table
$sql=mysql_query("SELECT * FROM admin_logins WHERE Username='$username' ");
$row=mysql_fetch_array($sql);

//Check that entered username is valid by checking returned UserID
if($row['UserID'] === NULL){
    header("Location: ../adminlogin.php?errCode=UserFail");
}
//Where username is correct, check corresponding password
else if ($row['UserID'] != NULL && $row['Password'] != $password){
    header("Location: ../adminlogin.php?errCode=PassFail");
}
else{
    $_SESSION['isAdmin'] = true;
    header("Location: ../admincontrols.php");
}

mysql_close($con);

?>

测试就在那里,所以我知道为什么页面会抛出错误,这是:

`Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in 'THISPAGE' on line 12`

它似乎不喜欢我的SQL查询。

非常感谢任何帮助。

编辑:

connect.php页面是:

<?php
$con = mysql_connect("localhost","username","password");
if(!$con) {
    die('Could not connect: ' . mysql_error());
}
    mysql_select_db("dbname", $con);
?>

是的,它是mysql_*,大声笑,我也可以解决这个问题。

2 个答案:

答案 0 :(得分:3)

您应该使用反引号转义列名username,尝试

SELECT * 
FROM admin_logins 
WHERE `Username` = '$username'

您的代码很容易出现 SQL Injection 。使用 PDO MYSQLI

使用PDO扩展的示例:

<?php
$stmt = $dbh->prepare("SELECT * FROM admin_logins  WHERE `Username` = ?");
$stmt->bindParam(1, $username);
if ($stmt->execute(array($_GET['name']))) {
  while ($row = $stmt->fetch()) {
    print_r($row);
  }
}
?>

答案 1 :(得分:2)

Sean,你必须在变量周围使用点,如下所示:

$sql = mysql_query("SELECT * FROM admin_logins WHERE Username = '". mysql_real_escape_string($username)."' ");

如果你像这样使用你的代码那么它就容易受到SQL注入攻击。我强烈建议您在将数据插入数据库时​​使用mysql_real_escape_string以防止SQL injections,作为快速解决方案或更好地使用PDOMySQLi

此外,如果您使用mysql_*连接到您的数据库,那么我建议您阅读mysql_*函数的PHP手册章节, 他们指出,建议不要使用此扩展名来编写新代码。相反,他们说,您应该使用MySQLiPDO_MySQL扩展名。

EDITED:

我还检查了你的mysql_connect并发现了一个奇怪的规律性 - 如果你在"参数上使用mysql_connect,那么它无法连接,在我的情况下,当我测试时它适合你,它只是描述的方式,所以,请尝试这样做:

$con = mysql_connect('localhost','username','password');

尝试将"替换为',如PHP Manual示例所示,我认为它会起作用!

如果仍然不起作用,只需打$rowprint_r($row);$sql=mysql_query(),然后查看$row数组或变量上的内容。

相关问题
最新问题