Запрос к БД mysqli_query()

@Green62 · Регистрация: 29.06.2016

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
Изучаю PHP.
Пишу простой скрипт авторизации.
Столкнулся с проблемой при выборе ячейки таблицы

PHP

<?
$connect = mysqli_connect('localhost', 'root', '');
$nik="user";
$pass="pasword";
$submit=$_REQUEST['submit'];
if($submit){
    $nik=$_REQUEST['nik'];
    $pass=$_REQUEST['pass'];
$result = mysqli_query( $connect,"SELECT name FROM `user2`WHERE nik=$nik");
?>

В $result ничего не записывается если `WHERE nik=$nik заменить на `WHERE nik='user', всё работает
Подскажите в чём может быть проблема в переменной $nik записана нужная строка

@senek · 29.06.2016, 10:35

Точно не знаю, но, предполагаю, дело в следующем:

-функция mysqli_connect требует 4 параметра, из которых указано 3. Четвертый параметр - название БД:

PHP

1	$connect = mysqli_connect('localhost', 'root', '', 'имя_базы_данных');

Именно из-за этого (не указано имя БД) в $result ничего не выводится.

P.S. - недочет: не рекомендуется вставлять апострофы в запросе - нужно их убрать ('user2' заменить на user2):

PHP

1	$result = mysqli_query( $connect,"SELECT name FROM user2 WHERE nik=$nik");

Думаю, это еще одна причина.

@Jodah · 29.06.2016, 11:05

Строки в SQL-запросах нужно обрамлять кавычками:

PHP

1	mysqli_query( $connect,"SELECT name FROM `user2`WHERE nik = '$nik'");

Добавлено через 1 минуту

Сообщение от senek

P.S. - недочет: не рекомендуется вставлять апострофы в запросе - нужно их убрать ('user2' заменить на user2):

Не рекомендуется кем? Апострофы использовать желательно, а в некоторых случаях обязательно (например, если название поля совпадает с названием какой-нибудь функции MySQL).

@Green62 · 29.06.2016, 11:18 **[ТС]**

товарищи, читайте вопрос целиком, пожалуйста.

@Jodah · 29.06.2016, 11:44

Green62, прочитал вопрос целиком. Ничего не изменилось. У вас по-прежнему 2 ошибки, делающие скрипт нерабочим.

@Green62 · 29.06.2016, 12:53 **[ТС]**

Вопрос в следующем в условии `WHERE если вместо переменной nik=$nik написать nik='user', данные из БД записываются в $result. Если вместо строки использовать переменную возникает ошибка. С переменной проблем нет, в ней записана нужная строка

@СлаваВирус · 29.06.2016, 13:14

Сообщение от Jodah

Строки в SQL-запросах нужно обрамлять кавычками:

Вам же уже ответили, переменную помещайте в кавычки, WHERE `nik` = '$nik'

@Green62 · 29.06.2016, 14:17 **[ТС]**

Спасибо всем, кто откликнулся

@JimUSA · 29.06.2016, 15:39

Green62, Держите целиком готовый код.

db.sql

SQL

CREATE TABLE IF NOT EXISTS `users` (
  `id` INT(10) UNSIGNED NOT NULL AUTO_INCREMENT,
  `username` VARCHAR(80) NOT NULL,
  `password` VARCHAR(32) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 AUTO_INCREMENT=1 ;

PHP/HTML

<?php
 
session_start();
 
define(DB_HOST, 'localhost');
define(DB_USER, 'root');
define(DB_PASS, '');
define(DB_NAME, 'dbname');
 
$db = mysqli_connect(DB_HOST, DB_USER, DB_PASS, DB_NAME);
mysqli_query($db, 'SET CHARSET UTF8');
 
$class = 'error';
$title_result = 'Ошибка!';
$message_result = '';
 
if(isset($_POST['btn_login'])) {
    $username = isset($_POST['username']) ? trim($_POST['username']) : '';
    $password = isset($_POST['password']) ? trim($_POST['password']) : '';
    if(empty($username) or empty($password)) $message_result = 'Введите логин и пароль!';
    if(empty($message_result)) {
        $username = mysqli_real_escape_string($db, $username);
        $sql = "SELECT `id`, `password` FROM `users` WHERE `username`='{$username}' LIMIT 1";
        $result = mysqli_fetch_assoc(mysqli_query($db, $sql));
        if(!is_null($result)) {
            if($result['password'] === md5($password)) {
                $_SESSION['id'] = $result['id'];
                header("Location: /");
                exit;
            }else $message_result = 'Неверный логин или пароль!';
        }else $message_result = 'Неверный логин или пароль!';
    }
}
 
if(isset($_POST['btn_reg'])) {
    $username = isset($_POST['username']) ? trim($_POST['username']) : '';
    $password = isset($_POST['password']) ? trim($_POST['password']) : '';
    $r_password = isset($_POST['r_password']) ? trim($_POST['r_password']) : '';
    if(empty($username) or empty($password) or empty($r_password)) $message_result = 'Все поля объязательны для заполнения!';
    if($password !== $r_password) $message_result = 'Пароли не совпадают!';
    if(empty($message_result)) {
        $username = mysqli_real_escape_string($db, $username);
        $sql = "SELECT `id` FROM `users` WHERE `username`='{$username}' LIMIT 1";
        $query = mysqli_query($db, $sql);
        if(mysqli_num_rows($query) > 0) $message_result = 'Пользователь с таким логином занят!';
        else
            if(mysqli_query($db, "INSERT INTO `users`(`username`,`password`) VALUES('{$username}','" . md5($password) . "')")) {
                $class = 'success';
                $title_result = 'Успех';
                $message_result = 'Вы успешно зарегистрировались!';
            }else $message_result = 'Неизвестная ошибка!';
    }
}
 
if(isset($_POST['btn_logout'])) {
    if(isset($_SESSION['id'])) unset($_SESSION['id']);
    header("Location: /");
    exit;
}
 
?>
<!DOCTYPE html>
<html>
<head>
 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
 
<style type="text/css">
* {margin: 0;padding: 0;font-family: "Arial", Helvetica, Sans-Serif;}
table {margin: 5px;}
td h1 {font-size: 16px;}
td label {float: right;font-size: 13px;}
td table {padding: 10px;border: 1px solid rgba(200,200,200,1);background-color: rgba(240,240,240,1);}
td button {float: right;margin-top: 10px;padding: 6px;cursor: pointer;}
.error {padding: 6px;color: rgba(200,20,20,1);background-color: rgba(255,230,230,1);}
.error p {color: rgba(200,100,100,1);}
.success {padding: 6px;color: rgba(20,180,20,1);background-color: rgba(230,255,230,1);}
.success p {color: rgba(100,200,100,1);}
.message_result {font-size: 16px;}
.message_result p {font-size: 13px;}
.userinfo {float: left;margin: 1em;padding: 0.5em 1em;background-color: rgba(238,238,238,1);}
</style>
 
</head>
<body>
 
<?php if(isset($_SESSION['id'])) {
 
$sql = "SELECT `username` FROM `users` WHERE `id`='{$_SESSION['id']}' LIMIT 1";
$userdata = mysqli_fetch_assoc(mysqli_query($db, $sql));
echo '<div class="userinfo">
    <div class="username">Привет, ' . $userdata['username'] . '</div>
    <form method="POST">
        <div class="logout">
            <button name="btn_logout">Выход</button>
        </div>
    </form>
</div>';
 
}else{ ?>
<table>
    <?php if(!empty($message_result)) { ?>
    <tr>
        <td colspan="2">
            <div class="message_result <?=$class?>">
                <?=$title_result?>
                <p><?=$message_result?></p>
            </div>
        </td>
    </tr>
    <?php } ?>
    <tr>
        <td valign="top">
            <form method="POST">
            <table>
                <tr>
                    <td colspan="2">
                        <h1>Войти</h1>
                    </td>
                </tr>
                <tr>
                    <td>
                        <label>Логин:</label>
                    </td>
                    <td>
                        <input type="text" name="username" />
                    </td>
                </tr>
                <tr>
                    <td>
                        <label>Пароль:</label>
                    </td>
                    <td>
                        <input type="password" name="password" />
                    </td>
                </tr>
                <tr>
                    <td colspan="2">
                        <button name="btn_login">Войти</button>
                    </td>
                </tr>
            </table>
            </form>
        </td>
        <td valign="top">
            <form method="POST">
            <table>
                <tr>
                    <td colspan="2">
                        <h1>Регистрация</h1>
                    </td>
                </tr>
                <tr>
                    <td>
                        <label>Логин:</label>
                    </td>
                    <td>
                        <input type="text" name="username" />
                    </td>
                </tr>
                <tr>
                    <td>
                        <label>Пароль:</label>
                    </td>
                    <td>
                        <input type="password" name="password" />
                    </td>
                </tr>
                <tr>
                    <td>
                        <label>Повторить пароль:</label>
                    </td>
                    <td>
                        <input type="password" name="r_password" />
                    </td>
                </tr>
                <tr>
                    <td colspan="2">
                        <button name="btn_reg">Регистрация</button>
                    </td>
                </tr>
            </table>
            </form>
        </td>
    </tr>
</form>
</table>
<?php } ?>
 
</body>
</html>

@Green62 · 29.06.2016, 18:31 **[ТС]**

Спасибо, но готовый код не нужен. Я учусь.

@JimUSA · 29.06.2016, 23:49

Green62, Так его можно просто потестить и понять работу, будет более лучше.

@Custos · 30.06.2016, 00:21

Green62, https://github.com/mvcbox/sql-... /README.md

PHP

1	$rows = qb()->table('user2')->where(['nik' => $nik])->all();

@sadn3r · 30.06.2016, 06:57

Данные пришедшие от пользователя нельзя прямиком вставлять в запрос как Вы это делаете в 9 стоке

$result = mysqli_query( $connect,"SELECT name FROM `user2`WHERE nik=$nik");

. Это чревато SQL-инъекцией и какой-нибудь шутник может удалить вам все таблицы или украсть пароли всех пользователей. Чтобы обезопаситься нужно экранировать данные пришедшие из вне специальной функцией. В данном случае т.к. Вы используете mysqli, Вам нужно перед подстановкой переменной $nik в SQL-запрос, обработать ее функцией mysqli_real_escape_string

@Green62 0 / 0 / 0 Регистрация: 29.06.2016 Сообщений: 8
	29.06.2016, 11:18 [ТС]	4
	товарищи, читайте вопрос целиком, пожалуйста. 0

@Jodah 3851 / 3196 / 1343 Регистрация: 01.08.2012 Сообщений: 10,820
	29.06.2016, 11:44	5
	Green62, прочитал вопрос целиком. Ничего не изменилось. У вас по-прежнему 2 ошибки, делающие скрипт нерабочим. 0

@Green62 0 / 0 / 0 Регистрация: 29.06.2016 Сообщений: 8
	29.06.2016, 12:53 [ТС]	6
	Вопрос в следующем в условии `WHERE если вместо переменной nik=$nik написать nik='user', данные из БД записываются в $result. Если вместо строки использовать переменную возникает ошибка. С переменной проблем нет, в ней записана нужная строка 0

@СлаваВирус 471 / 399 / 169 Регистрация: 04.01.2013 Сообщений: 1,675
	29.06.2016, 13:14	7
	Сообщение было отмечено Green62 как решение Решение Сообщение от Jodah Строки в SQL-запросах нужно обрамлять кавычками: Вам же уже ответили, переменную помещайте в кавычки, WHERE `nik` = '$nik' 1

@Green62 0 / 0 / 0 Регистрация: 29.06.2016 Сообщений: 8
	29.06.2016, 14:17 [ТС]	8
	Спасибо всем, кто откликнулся 0

@Green62 0 / 0 / 0 Регистрация: 29.06.2016 Сообщений: 8
	29.06.2016, 18:31 [ТС]	10
	Спасибо, но готовый код не нужен. Я учусь. 0

@JimUSA Web Programmer 325 / 286 / 121 Регистрация: 28.09.2011 Сообщений: 1,570
	29.06.2016, 23:49	11
	Green62, Так его можно просто потестить и понять работу, будет более лучше. 0

@sadn3r 79 / 48 / 22 Регистрация: 30.06.2016 Сообщений: 187
	30.06.2016, 06:57	13
	Данные пришедшие от пользователя нельзя прямиком вставлять в запрос как Вы это делаете в 9 стоке $result = mysqli_query( $connect,"SELECT name FROM `user2`WHERE nik=$nik"); . Это чревато SQL-инъекцией и какой-нибудь шутник может удалить вам все таблицы или украсть пароли всех пользователей. Чтобы обезопаситься нужно экранировать данные пришедшие из вне специальной функцией. В данном случае т.к. Вы используете mysqli, Вам нужно перед подстановкой переменной $nik в SQL-запрос, обработать ее функцией mysqli_real_escape_string 1

Запрос к БД mysqli_query()

Решение