你好,我面临一个奇怪的问题;我使用此代码来检查登录数据与我的db
include("includes/config.php");
include("includes/database.php");
$name = $_POST['username'];
$pass = $_POST['password'];
$sql = "SELECT * FROM info_user WHERE user_name = '$name' AND password = '$pass'";
$result = mysql_query($sql) or die(mysql_error());
$row = mysql_fetch_array($result) or die(mysql_error());
echo $row['user_name']. " - ". $row['password'];
if (mysql_num_rows($sql)) {
echo "success";
}
else
{
echo "failed";
}
这里,当我成功时,它显示成功,但任何空白输入或错误输入不显示失败的消息,为什么?我该如何解决它呢?有更好的方法来检查登录吗?请帮助
Thanks in advance
首先:
$row = mysql_fetch_array($result) or die(mysql_error());
如果传递错误的用户名或密码,mysql_fetch_array()将返回FALSE,因为没有行可取。这导致你的or die(mysql_error())
部分被执行,这意味着你的脚本死亡,没有输出任何东西,因为mysql没有失败-这再次意味着mysql_error()没有返回给你。
其次,你在$sql
字符串上使用mysql_num_rows(),而不是在$result
变量上,它实际上包含了一个你应该使用的mysql资源。
在使用mysql_fetch_array()之前,你还应该检查mysql_num_rows(),这样你就不会试图取出一些你没有可用的数据。
最后,您的解决方案充满了安全漏洞。您正在传递原始post数据到您的mysql数据库,这使您容易受到sql注入,并且您将密码存储为数据库中的纯文本值(不是纯文本文件,只是纯文本值)。
你应该谷歌sql注入和密码哈希来提高你的安全性。
试试这个:
$num_rows = mysql_num_rows($result);
if ($num_rows > 0) {
echo "success";
} else {
echo "failed";
}