[PHP][MySQL]Sprawdzenie czy znalazł rekord, i rozpoczęcie sesji, jeśli znalazł pasujący login i hasło Opcje

[Dukov]

Hej mam pewien problem, chciałem napisać skrypt logowania, jednak utknąłem na

[PHP] pobierz, plaintext 
<?php
	$password = $_POST['pass'];
  try
   {
      $pdo = new PDO('mysql:host=localhost;dbname=user', 'root', '');
 
 
      $log = $_POST['login'];
      $stmnt = $pdo->query("SELECT login, pass FROM users WHERE login = '".$_POST['login']."' AND pass = '".sha1($password));
 
 
 
   }
   catch(PDOException $e)
   {
      echo 'Błąd połączenia. Słowem do tyłka jak zawsze. ' . $e->getMessage();
   }
 
 
 
 
?> 
[PHP] pobierz, plaintext 

Próbowałem wrzucić to do jakiejś $row pętlą foreach i porównać np. $row['login'] z _POST['login'], próbowałem

[PHP] pobierz, plaintext 
$result = $stmnt->fetch(PDO::FETCH_ASSOC);
if(count(result) <> 0) { /* jest */ } else { /* nie ma */ }
[PHP] pobierz, plaintext 

albo

[PHP] pobierz, plaintext 
if($stmnt->rowCount() <> 0) { /* znalazł usera */ } else { /* nie znalazł usera */ }
[PHP] pobierz, plaintext 

ogólnie od wczoraj przeglądam w chole...dużo tutków, poradników, a nic nie działa. Uczę się dopiero php. czy raczej staram się uczyć, więc proszę o wyrozumiałość, że nie potrafię sobie jeszcze z nim poradzić.

Drugie pytanie przy okazji sha1[cośtam] zrobiłem dobrze? Bo coś mi tam nie pasuje. W bazie mam tak zaszyfrowane pole hasło TINYTEXT, login też TINYTEXT oczywiście bez szyfrowania.

EDIT
A jeszcze jedno, jak mogę w ogóle sprawdzić co zwróciło moje zapytanie do bazy?

Ten post edytował Dukov 22.03.2017, 18:15:11

[viking]

Zobacz funkcję password_hash/verify. Binduj parametry bo teraz otworzyłeś atakującemu dostęp pełen (sql injection). W stopce mam kurs oraz poradnik m.in. logowania i rejestracji. var_dump($zmienna) poda wszystkie dane.