Mysqli查询结果问题

时间:2012-11-20 17:43:45

标签: php mysql mysqli

我正在尝试使用mysqli方法创建一个登录表单。我没有收到任何错误,但在两种情况下(正确或不正确的身份验证)我得到IF条件结果的第二部分! “你不被允许!” 

<?php
include_once('db.php');
$eMail = mysql_real_escape_string($_POST["eMail"]);
$passWord = mysql_real_escape_string($_POST["psword"]);
$query  = "SELECT count(*) FROM users WHERE (email='$eMail' AND pass='$passWord')";
if( $query > 0 ) {
echo "You are allowed.";
}
else{
echo "You are not allowed!.";
}
$mysqli->close();
?>

我也改为if条件跟随

if( $mysqli->query > 0 ){}

我有一个名为users的表和两个包含用户Email和Password的列(电子邮件,密码)。现在可以告诉我我做错了什么吗?感谢

4 个答案:

答案 0 :(得分:1)

出于某种原因,您使用的是mysql和mysqli函数。这应该更新。这也是假设您的变量$mysqli包含有效的mysqli数据库连接:

<?php
include_once('db.php');
$eMail = mysqli_real_escape_string($mysqli,$_POST["eMail"]);
$passWord = mysqli_real_escape_string($mysqli,$_POST["psword"]);
$query  = $mysqli->query("SELECT count(*) FROM users WHERE (email='$eMail' AND pass='$passWord') LIMIT 1");
if( $mysqli->num_rows($query) > 0 ) {
    echo "You are allowed.";
}else{
    echo "You are not allowed!.";
}
mysqli_free_result($query);
$mysqli->close();?>

答案 1 :(得分:1)

不鼓励使用mysql_ *扩展名支持mysqli和/或pdo函数。

您的代码失败,因为没有调用mysql_query函数,因此在代码的这一行中:

$query > 0

您所做的只是验证您的String是否大于0,这就是您总是得到错误结果的原因。

我已经从我的面向对象的登录方法改编为(大多数)程序方法。

通过将参数绑定到预准备语句来查看下面的处理用户输入的不同方法:

function login($email, $password, $mysqli){
    if($login_stmt = $mysqli->prepare("SELECT Pass,Salt from Users WHERE Email = ? LIMIT 1")){
        $login_stmt->bind_param('s',$email);
        //The line above prevents SQL Injection
        $login_stmt->execute();
        $login_stmt->store_result();

        $rows = $login_stmt->num_rows;

        $login_stmt->bind_result($db_pass,$salt); //Stores the result in the $db_pass and $salt variables
        $login_stmt->fetch();
        $password = hash('sha512',$password.$salt); //This is a method I'm using to encrypt using sha512 encription
        if($rows==1){//The user exists
            if($db_pass==$password){
            //User logged in, do your stuff here
                return true;
            } else { 
                //password not correct
                return false;
            }
        } else{
            return false; //no user
        }
     } else {
         //Prepared statement failed
         return false;
    }
}

这里的主要区别在于准备好的语句与bind_param一起将如何阻止代码上的SQL注入。

我希望它有所帮助。干杯

答案 2 :(得分:0)

您忘了运行查询。请参阅mysql_query()

答案 3 :(得分:0)

首先连接到数据库,然后使用mysql_query($query);

执行查询 
$result = mysql_query($query);
if (mysql_num_rows($result) > 0) {
} else {
}
相关问题
最新问题