我正在制作一个登录脚本,但它仍然失败并打印出“连接失败”。为什么查询失败了,我怎样才能做得更好?
session_start();
if(isset($_POST['submit'])){
$email = $_POST['email'];
$pass = $_POST['pass'];
$connection=mysqli_connect("localhost","root","","dbname") or die('Connection failed.');
mysqli_select_db($connection, 'dbname') or die ("Connection failed.");
$query = mysqli_query($connection, "SELECT * FROM users WHERE user_email=`$email` AND user_pass=`$pass`") or die ('Connection failed.');
$check_user = mysqli_num_rows($query);
if($check_user == 1){
$row = mysqli_fetch_row($check_user);
$_SESSION[‘user_email’]=$email;
header('Location: yay.php');
}else{
echo"<script>alert('Email or password is incorrect.')</script>";
}
}
失败的行:
$query = mysqli_query($connection, "SELECT * FROM users WHERE user_email=`$email` AND user_pass=`$pass`") or die ('Connection failed.');
答案 0 :(得分:4)
首先,您的查询失败。
为什么呢?因为,你的变量使用了错误的引号类型,而是刻度。
$sel_user = "select * from users where user_email = `$email` AND user_pass=`$pass`";
那些应该是单引号。
$sel_user = "select * from users where user_email = '$email' AND user_pass='$pass'";
使用http://php.net/manual/en/mysqli.error.php检查错误会告诉您语法错误。
这对你没有帮助:
$query = mysqli_query($connection, "SELECT * FROM users
WHERE user_email=`$email`
AND user_pass=`$pass`")
or die ('Connection failed.');
^^^^^^^^^^^^^^^^^^^^
这样做:
$query = mysqli_query($connection, "SELECT * FROM users
WHERE user_email=`$email`
AND user_pass=`$pass`")
or die(mysqli_error($connection));
另外,您使用的是[‘user_email’]
的引号,这也会导致您的代码在更改引号后失败。 (请参阅我关于错误报告的脚注)。
$_SESSION['user_email']=$email;
并在标题后添加exit;
。您的代码可能希望继续执行。
对于密码存储,请使用CRYPT_BLOWFISH或PHP 5.5的password_hash()
功能。对于PHP&lt; 5.5使用password_hash() compatibility pack
。
您目前的代码向SQL injection开放。使用prepared statements或PDO with prepared statements,它们更安全。
关于您的其他问题,现已删除:
$connection=mysqli_connect("localhost","root","","db-name");
if (mysqli_connect_error()){
echo"Connection failed.";
}
那你为什么现在用这个?
$connection=mysqli_connect("localhost","root","","dbname") or die('Connection failed.');
mysqli_select_db($connection, 'dbname') or die ("Connection failed.");
mysqli_select_db($connection, 'dbname')
您已经选择了数据库。你说的错误(在你的另一个问题中):
但是我在标题中得到了上面的错误(mysqli_num_rows()期望参数1是mysqli_result,给定布尔值。)
加上这一行:
$row = mysqli_fetch_row($check_user);
您使用的错误变量$check_user
应为$query
。
作为手册中的一个例子:
$query = "SELECT Name, CountryCode FROM City ORDER by ID DESC LIMIT 50,5";
if ($result = mysqli_query($link, $query)) {
/* fetch associative array */
while ($row = mysqli_fetch_row($result)) {
printf ("%s (%s)\n", $row[0], $row[1]);
}
<强>脚注:强>
将error reporting添加到文件的顶部,这有助于查找错误。
<?php
error_reporting(E_ALL);
ini_set('display_errors', 1);
// rest of your code
旁注:错误报告应仅在暂存时完成,而不是生产。