为什么mysqli_real_escape_string()返回NULL?

时间:2014-12-22 17:02:08

标签: php mysqli null escaping

我正在编写登录/注册页面。 我想使用mysqli_real_escape_string()保护表单免受sql注入。 如果我使用它,函数将返回NULL

我不知道为什么...... 我搜索了一下,发现也许我没有连接到数据库,但我可以查询它。

这是我用来连接数据库的代码(db.php):

<?php
$con = mysqli_connect("localhost","user","pass","database");

// Check connection
if (mysqli_connect_errno())
  {
    echo "Failed to connect to MySQL: " . mysqli_connect_error();
  }
?> 

返回NULL的代码:

include("includes/db.php");
function escapeInput($data) {
    $data = trim($data);
    $data = htmlspecialchars($data);
    $data = stripslashes($data);
    $data = mysqli_real_escape_string($con, $data);
    return $data;
}
if (isset($_SESSION['username'])){
    header("Location: home.php");
}
if ($_SERVER['REQUEST_METHOD'] == 'POST')
{
    if($_POST['action'] == 'login')
    {
    $username = escapeInput($_POST['username']);
    $password = escapeInput($_POST['password']);
    var_dump($username);
    $password = sha1($password, true);
    $login = "SELECT COUNT(*) FROM users WHERE username = '$username' AND password = '$password'";
    $result = mysqli_query($con,$login);
    $user = mysqli_fetch_array($result, MYSQLI_NUM);
    if($user[0]) {
        echo '<div class="alert alert-success" role="alert">Successfuly logged in.</div>';
        // Store Session Data
        $_SESSION['username'] = $username;  // Initializing Session with value of PHP Variable
        header("Location: home.php");
        die();                    
    }
    else echo '<div class="alert alert-danger" role="alert">Incorrect username and/or password.</div>';
    }
}

3 个答案:

答案 0 :(得分:0)

试试这个:

$data = mysqli_escape_string($con, $data);

您需要将连接对象作为第一个参数传递。

答案 1 :(得分:0)

现实情况是,如果您想要编写登录页面这些天您不应该使用已弃用的代码。您应该查看PDO。我跳了起来,起初听起来很可怕,但这是我做过的最好的事情之一。它就这么简单。

$Qry = $db->prepare("SELECT COUNT(username) FROM users WHERE username = :User AND password = Pass");
$Qry->execute(array(':User'=>$username, ':Pass'=>$password));

然后你可以使用

$Qry->rowCount();

您必须更改连接字符串,但它更安全且未来更友好

Prepared Statements

答案 2 :(得分:0)

mysqli_real_escape_string()需要两个参数:

  1. 连接资源(通过调用mysqli_connect(DB_HOST, DB_USER, DB_PASS, DB_NAME);创建)
  2. 一个字符串。
  3. 当第一个参数为mysqli_real_escape_string()时,

    z null始终返回null。因此,请确保您已创建了一个连接对象,并且尚未使用mysqli_close()将其关闭。