Что не так в этом коде!

@Xryst · Регистрация: 26.02.2011

Студворк — интернет-сервис помощи студентам

Что не так в этом куске кода? Укажите на все ошибки и слабые места.

PHP
1
2
3
4
5
6
7
8
9
10
11
12
<?
$result = mysql_query("
      SELECT * FROM users
       WHERE login = '".$_POST['login']."'
             AND password = '".$_POST['password']."'
");
if (mysql_num_rows($result)) {
    echo "Вы авторизованы";
} else {
    echo "Неправильный логин/пароль";
}
?>

@shapera · 27.02.2011, 00:27

Вот как попробуй первую часть переписать:

PHP
1
2
3
4
5
$result = mysql_query("
SELECT * FROM `users`
WHERE `login`='.$_POST['login'].'
AND `password`='.$_POST['password'].'
");

З.Ы. символ ` - это не одинарная ковычка, а кнопка под эскейпом, где с шифтом знак ~
Короче консоль в КСе вызываешь где

@Xryst · 27.02.2011, 01:12 **[ТС]**

спасибо большое, а еще есть какие-то ошыбки?

@ПАЦАН · 27.02.2011, 01:17

Слабое место в том, что полученные данные не фильтуются, почитай про SQL Injection. из POST-массива все полученные данные нужно записать в переменные, и пропустить их через функцию, которая отфильтрует по крайней мере ';'. только после этого можно подставлять переменные в запрос, иначе база данных рано или поздно будет взломана.

Ошибок я в этом коде не вижу. Разве не работает?

@xand · 27.02.2011, 06:35

Помоему так будет правильнее

PHP
1
2
3
4
5
6
7
8
9
10
11
12
<?
$result = mysql_query("
SELECT * FROM `users`
WHERE `login` = '".mysql_real_escape_string($_POST['login'])."'
AND `password` = '".mysql_real_escape_string($_POST['password'])."'
");
if ($result and mysql_num_rows($result) > 0) {
    echo "Вы авторизованы";
} else {
    echo "Неправильный логин/пароль";
}
?>

@Xryst · 27.02.2011, 12:51 **[ТС]**

Сообщение от xand

Помоему так будет правильнее

PHP
1
2
3
4
5
6
7
8
9
10
11
12
<?
$result = mysql_query("
SELECT * FROM `users`
WHERE `login` = '".mysql_real_escape_string($_POST['login'])."'
AND `password` = '".mysql_real_escape_string($_POST['password'])."'
");
if ($result and mysql_num_rows($result) > 0) {
    echo "Вы авторизованы";
} else {
    echo "Неправильный логин/пароль";
}
?>

большое всем спасибо за ответ xand

@xand · 27.02.2011, 16:27

Xryst, всегда пожалуйста

@matrixphp · 28.02.2011, 12:07

Возможно ошибка не в коде, а том что ранее не была выбрана база данных, или остутстует подключение к mysql

@Sulik78 · 28.02.2011, 15:35

Не по теме:

Сообщение от Xryst

SELECT * FROM `users`

да и вообще зачем выбирать все поля, чтобы посчитать кол-во?, достаточно выбрать только id

@kernel · 01.03.2011, 18:30

PHP
1
2
3
4
$result = mysql_query("
SELECT * FROM users
WHERE login = '".$_POST['login']."'
AND password = '".$_POST['password']."'

Проверять пароль лучше всего отдельно а не в запросе. Для такого запроса легко написать SQL-injection. например попробуй так: login = qwert/* password = */ - должна получится инъекция.
Лучше всего сделать так:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
$query = mysql_query("SELECT login FROM users
                    WHERE login = '".$_POST['login']."'");
if($query){
    $result = mysql_fetch_array($query);
}
else{ 
    echo "Неправильный логин";
}
if($_POST['password'] === $result['password']){
    echo "Вы авторизованы";
} 
else {
    echo "Неправильный пароль";
}

@Dzhekson6000 · 12.03.2011, 19:15

kernel,
я думаю так будет лучше

PHP
1
2
$query = mysql_query("SELECT * FROM users
                    WHERE login = '".$_POST['login']."'");

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@Xryst 1 / 1 / 1 Регистрация: 26.02.2011 Сообщений: 28
	27.02.2011, 01:12 [ТС]
	спасибо большое, а еще есть какие-то ошыбки? 0

@ПАЦАН 45 / 45 / 12 Регистрация: 04.01.2010 Сообщений: 223
	27.02.2011, 01:17
	Слабое место в том, что полученные данные не фильтуются, почитай про SQL Injection. из POST-массива все полученные данные нужно записать в переменные, и пропустить их через функцию, которая отфильтрует по крайней мере ';'. только после этого можно подставлять переменные в запрос, иначе база данных рано или поздно будет взломана. Ошибок я в этом коде не вижу. Разве не работает? 0

@xand 84 / 84 / 8 Регистрация: 12.04.2010 Сообщений: 324
	27.02.2011, 16:27
	Xryst, всегда пожалуйста 1

@matrixphp 0 / 0 / 0 Регистрация: 17.11.2010 Сообщений: 18
	28.02.2011, 12:07
	Возможно ошибка не в коде, а том что ранее не была выбрана база данных, или остутстует подключение к mysql 0