你好,我面临一个奇怪的问题;我正在使用此代码检查我的数据库
的登录数据include("includes/config.php");
include("includes/database.php");
$name = $_POST['username'];
$pass = $_POST['password'];
$sql = "SELECT * FROM info_user WHERE user_name = '$name' AND password = '$pass'";
$result = mysql_query($sql) or die(mysql_error());
$row = mysql_fetch_array($result) or die(mysql_error());
echo $row['user_name']. " - ". $row['password'];
if (mysql_num_rows($sql)) {
echo "success";
}
else
{
echo "failed";
}
在这里,当我成功时它显示成功但是任何空白输入或错误输入都没有显示失败的消息为什么?我该如何解决?有没有更好的方法来检查登录?请帮忙
提前致谢
答案 0 :(得分:2)
首先关闭:
$row = mysql_fetch_array($result) or die(mysql_error());
如果您传递了错误的用户名或密码,mysql_fetch_array()将返回FALSE,因为没有要从中获取的行。这会导致您的or die(mysql_error())部分被执行,这意味着您的脚本会因为mysql没有失败而死亡并输出任何内容 - 这再次意味着mysql_error()没有任何内容可以返回给您。
其次,你在$sql字符串上使用mysql_num_rows(),而不是$result变量,它实际上包含你应该使用的mysql资源。
在使用mysql_fetch_array()之前,您还应该检查mysql_num_rows(),这样就不会尝试提取一些您没有的数据。
最后,您的解决方案充满了安全漏洞。您正在将原始发布数据传递到您的mysql数据库,这使您容易受到sql注入,并且您将密码作为纯文本值存储在数据库中(不是纯文本文件,只是纯文本值)。
您应该使用Google sql注入和密码哈希来提高安全性。
答案 1 :(得分:0)
试试这个:
$num_rows = mysql_num_rows($result);
if ($num_rows > 0) {
echo "success";
} else {
echo "failed";
}