登录脚本中的连续查询失败

Question

我正在制作一个登录脚本，但它仍然失败并打印出“连接失败”。为什么查询失败了，我怎样才能做得更好？

session_start();
if(isset($_POST['submit'])){
$email = $_POST['email'];
$pass = $_POST['pass'];

$connection=mysqli_connect("localhost","root","","dbname") or die('Connection failed.');
mysqli_select_db($connection, 'dbname') or die ("Connection failed.");

$query = mysqli_query($connection, "SELECT * FROM users WHERE user_email=`$email` AND user_pass=`$pass`") or die ('Connection failed.');

$check_user = mysqli_num_rows($query);

if($check_user == 1){
$row = mysqli_fetch_row($check_user);
$_SESSION[‘user_email’]=$email;
header('Location: yay.php');
}else{
echo"<script>alert('Email or password is incorrect.')</script>";
}
}

失败的行：

$query = mysqli_query($connection, "SELECT * FROM users WHERE user_email=`$email` AND user_pass=`$pass`") or die ('Connection failed.');

Answer 1

首先，您的查询失败。

为什么呢？因为，你的变量使用了错误的引号类型，而是刻度。

$sel_user = "select * from users where user_email = `$email` AND user_pass=`$pass`";

那些应该是单引号。

$sel_user = "select * from users where user_email = '$email' AND user_pass='$pass'";

使用http://php.net/manual/en/mysqli.error.php检查错误会告诉您语法错误。

这对你没有帮助：

$query = mysqli_query($connection, "SELECT * FROM users 
                                    WHERE user_email=`$email` 
                                    AND user_pass=`$pass`") 
                                    or die ('Connection failed.');
                                            ^^^^^^^^^^^^^^^^^^^^

这样做：

$query = mysqli_query($connection, "SELECT * FROM users 
                                    WHERE user_email=`$email` 
                                    AND user_pass=`$pass`")
                                    or die(mysqli_error($connection));

另外，您使用的是[‘user_email’]的引号，这也会导致您的代码在更改引号后失败。 （请参阅我关于错误报告的脚注）。

$_SESSION['user_email']=$email;

并在标题后添加exit;。您的代码可能希望继续执行。

对于密码存储，请使用CRYPT_BLOWFISH或PHP 5.5的password_hash()功能。对于PHP＆lt; 5.5使用password_hash() compatibility pack。

您目前的代码向SQL injection开放。使用prepared statements或PDO with prepared statements，它们更安全。

关于您的其他问题，现已删除：

• https://stackoverflow.com/q/30695536/（可由OP和10K +会员查看）

你有：

$connection=mysqli_connect("localhost","root","","db-name");
if (mysqli_connect_error()){
echo"Connection failed.";
}

那你为什么现在用这个？

$connection=mysqli_connect("localhost","root","","dbname") or die('Connection failed.');
mysqli_select_db($connection, 'dbname') or die ("Connection failed.");

• mysqli_select_db($connection, 'dbname')您已经选择了数据库。

你说的错误（在你的另一个问题中）：

  

但是我在标题中得到了上面的错误（mysqli_num_rows（）期望参数1是mysqli_result，给定布尔值。）

加上这一行：

$row = mysqli_fetch_row($check_user);

您使用的错误变量$check_user应为$query。

• 阅读手册http://php.net/manual/en/mysqli-result.fetch-row.php

作为手册中的一个例子：

$query = "SELECT Name, CountryCode FROM City ORDER by ID DESC LIMIT 50,5";

    if ($result = mysqli_query($link, $query)) {

        /* fetch associative array */
        while ($row = mysqli_fetch_row($result)) {
            printf ("%s (%s)\n", $row[0], $row[1]);
        }

<强>脚注：

将error reporting添加到文件的顶部，这有助于查找错误。

<?php 
error_reporting(E_ALL);
ini_set('display_errors', 1);

// rest of your code

旁注：错误报告应仅在暂存时完成，而不是生产。