Что не так в этом коде!

@Xryst · Регистрация: 26.02.2011

Студворк — интернет-сервис помощи студентам

Что не так в этом куске кода? Укажите на все ошибки и слабые места.

PHP
1
2
3
4
5
6
7
8
9
10
11
12
<?
$result = mysql_query("
      SELECT * FROM users
       WHERE login = '".$_POST['login']."'
             AND password = '".$_POST['password']."'
");
if (mysql_num_rows($result)) {
    echo "Вы авторизованы";
} else {
    echo "Неправильный логин/пароль";
}
?>

@shapera · 27.02.2011, 00:27

Вот как попробуй первую часть переписать:

PHP
1
2
3
4
5
$result = mysql_query("
SELECT * FROM `users`
WHERE `login`='.$_POST['login'].'
AND `password`='.$_POST['password'].'
");

З.Ы. символ ` - это не одинарная ковычка, а кнопка под эскейпом, где с шифтом знак ~
Короче консоль в КСе вызываешь где

@Xryst · 27.02.2011, 01:12 **[ТС]**

спасибо большое, а еще есть какие-то ошыбки?

@ПАЦАН · 27.02.2011, 01:17

Слабое место в том, что полученные данные не фильтуются, почитай про SQL Injection. из POST-массива все полученные данные нужно записать в переменные, и пропустить их через функцию, которая отфильтрует по крайней мере ';'. только после этого можно подставлять переменные в запрос, иначе база данных рано или поздно будет взломана.

Ошибок я в этом коде не вижу. Разве не работает?

@xand · 27.02.2011, 06:35

Помоему так будет правильнее

PHP
1
2
3
4
5
6
7
8
9
10
11
12
<?
$result = mysql_query("
SELECT * FROM `users`
WHERE `login` = '".mysql_real_escape_string($_POST['login'])."'
AND `password` = '".mysql_real_escape_string($_POST['password'])."'
");
if ($result and mysql_num_rows($result) > 0) {
    echo "Вы авторизованы";
} else {
    echo "Неправильный логин/пароль";
}
?>

@Xryst · 27.02.2011, 12:51 **[ТС]**

Сообщение от xand

Помоему так будет правильнее

PHP
1
2
3
4
5
6
7
8
9
10
11
12
<?
$result = mysql_query("
SELECT * FROM `users`
WHERE `login` = '".mysql_real_escape_string($_POST['login'])."'
AND `password` = '".mysql_real_escape_string($_POST['password'])."'
");
if ($result and mysql_num_rows($result) > 0) {
    echo "Вы авторизованы";
} else {
    echo "Неправильный логин/пароль";
}
?>

большое всем спасибо за ответ xand

@xand · 27.02.2011, 16:27

Xryst, всегда пожалуйста

@matrixphp · 28.02.2011, 12:07

Возможно ошибка не в коде, а том что ранее не была выбрана база данных, или остутстует подключение к mysql

@Sulik78 · 28.02.2011, 15:35

Не по теме:

Сообщение от Xryst

SELECT * FROM `users`

да и вообще зачем выбирать все поля, чтобы посчитать кол-во?, достаточно выбрать только id

@kernel · 01.03.2011, 18:30

PHP
1
2
3
4
$result = mysql_query("
SELECT * FROM users
WHERE login = '".$_POST['login']."'
AND password = '".$_POST['password']."'

Проверять пароль лучше всего отдельно а не в запросе. Для такого запроса легко написать SQL-injection. например попробуй так: login = qwert/* password = */ - должна получится инъекция.
Лучше всего сделать так:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
$query = mysql_query("SELECT login FROM users
                    WHERE login = '".$_POST['login']."'");
if($query){
    $result = mysql_fetch_array($query);
}
else{ 
    echo "Неправильный логин";
}
if($_POST['password'] === $result['password']){
    echo "Вы авторизованы";
} 
else {
    echo "Неправильный пароль";
}

@Dzhekson6000 · 12.03.2011, 19:15

kernel,
я думаю так будет лучше

PHP
1
2
$query = mysql_query("SELECT * FROM users
                    WHERE login = '".$_POST['login']."'");

Новые блоги и статьи Все статьи Все блоги /
Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20%	Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .	Использование значений реквизитов справочника в документе, с определенными условиями и правами Maks 07.04.2026 1. Контроль срока действия договора Алгоритм из решения ниже реализован на примере нетипового документа "ЗаявкаНаРаботу", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если. . .
Доступность команды формы по условию Maks 07.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: сделать доступной кнопку (команда формы "ЗавершитьСписание") при. . .	Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .

@Xryst 1 / 1 / 1 Регистрация: 26.02.2011 Сообщений: 28
	27.02.2011, 01:12 [ТС]
	спасибо большое, а еще есть какие-то ошыбки? 0

@ПАЦАН 45 / 45 / 12 Регистрация: 04.01.2010 Сообщений: 223
	27.02.2011, 01:17
	Слабое место в том, что полученные данные не фильтуются, почитай про SQL Injection. из POST-массива все полученные данные нужно записать в переменные, и пропустить их через функцию, которая отфильтрует по крайней мере ';'. только после этого можно подставлять переменные в запрос, иначе база данных рано или поздно будет взломана. Ошибок я в этом коде не вижу. Разве не работает? 0

@xand 84 / 84 / 8 Регистрация: 12.04.2010 Сообщений: 324
	27.02.2011, 16:27
	Xryst, всегда пожалуйста 1

@matrixphp 0 / 0 / 0 Регистрация: 17.11.2010 Сообщений: 18
	28.02.2011, 12:07
	Возможно ошибка не в коде, а том что ранее не была выбрана база данных, или остутстует подключение к mysql 0