[SQL][PHP] Ilość zwróconych rekordów Opcje

[arszawin]

Fragment kodu:

[PHP] pobierz, plaintext 
$sql = "SELECT * FROM users WHERE login = '$_POST[login]'";
$wynik = mysql_query( $sql );
echo mysql_num_rows($wynik);
[PHP] pobierz, plaintext 

Powyższy kod wyświetla oczywiście ilość rekordów, w których pole login jest równe danej wpisanej w formularzu.
W praktyce, przy założeniu, że loginy nie mogą się powtarzać - będzie to 0 (gdy nie ma takiego użytkownika) lub 1 (w przeciwnym wypadku).

Gdy np $_POST[login] = nieMaTakiegoUzytkownika to naturalnie zwracane jest 0.
Ale... w zakłopotanie wprowadziło mnie to, że gdy w formularzu zrobie kilka spacji ($_POST[login] = " ") albo nie wpisze nic ($_POST[login] = ""), zwracane jest... 1! Dlaczego ? Oczywiście w bazie nie powinno być takiego rekordu.

[pedro84]

Wiesz co to trim? Wiesz co to SQL Injection. Pierwsze Ci się przyda do pozbycia się nadmiarowych spacji, drugie to podstawa!

[arszawin]

Dzięki za zwrócenie uwagi na SQL Injection.

Tak powinno być lepiej:

[PHP] pobierz, plaintext 
$temp = addslashes($_POST[login]);
$sql = "SELECT * FROM users WHERE login = '$temp'";
$wynik = mysql_query( $sql );
echo mysql_num_rows($wynik);
[PHP] pobierz, plaintext 

Natomiast nie zrozumiałem, w jakim kontekście wspomniałeś o trim ? Dlaczego powinno zależeć mi na usunięciu nadmiarowych spacji ? W dalszym ciągu zwracany wynik to 1 i nie wiem dlaczego. Jeżeli dobrze rozumiem, to zapytanie wygląda mniej więcej tak:

[SQL] pobierz, plaintext 
SELECT * FROM users WHERE login = '    '
[SQL] pobierz, plaintext 

[Fifi209]

użyj mysql_real_escape_string

co do trima

[PHP] pobierz, plaintext 
 
$login = mysql_real_escape_string(trim($_POST['login']));
 
[PHP] pobierz, plaintext 

W dodatku po co wyciągasz wszystko?
Wyciągnij tylko id tego usera. ;]

Ten post edytował fifi209 26.07.2010, 23:28:26

[arszawin]

W takim razie może nieco inaczej:

[PHP] pobierz, plaintext 
		$login = mysql_real_escape_string(trim($_POST[login]));	
		$sql = "SELECT * FROM users WHERE login = '$login'";
		$wynik = mysql_query( $sql );		
 
		$user = mysql_fetch_object( $wynik );
		$password = $user -> pass;
		$status = $user -> status;
 
		if ( $password == md5( $_POST[pass] ) && mysql_num_rows($wynik)>0 ) {
			if ( $status == 1 ) {
				$_SESSION[login] = $_POST[login];
			}
			elseif ( $status == 0 ) {
				echo "<span>Konto nie zostało aktywowane.</span>";
				showLogin();
			} else {
				echo '<span>Konto zbanowane.</span>';
				showLogin();
			}
 
		}
		else {
			echo '<span>Nieprawidłowy login lub/i haslo.</span>';	
			showLogin();	
		}
[PHP] pobierz, plaintext 

Jeżeli w formularzu podam pusty ciąg znaków, albo kilka spacji otrzymuje komunikat, iż konto nie zostało aktywowane. Wskazuje to na to, jakby znaleziono takiego użytkownika w bazie, co jest bez sensu. Zaproponowane mysql_real_escape_string nie rozwiązało tego problemu.

[!*!]

Przejrzyj ten temat.

Zadbaj o dane które przychodzą do Ciebie. Gdzie sprawdzasz czy login w ogóle coś zawiera, czy w ogóle istnieje, a jak istnieje to w jakiej formie?

...Dlaczego powinno zależeć mi na usunięciu nadmiarowych spacji ...

Ponieważ powinno Ci zależeć na bezpieczeństwie. poczytaj o SQL Injection raz jeszcze.

[MYSQL] pobierz, plaintext 
$sql = "SELECT * FROM users WHERE login = '$login'";
[MYSQL] pobierz, plaintext 

Po co pobierasz wszystko? Ogranicz się tylko do loginu i daj limit na 1.

Ten post edytował !*! 27.07.2010, 08:02:56

[Fifi209]

Przejrzyj ten temat.

Zadbaj o dane które przychodzą do Ciebie. Gdzie sprawdzasz czy login w ogóle coś zawiera, czy w ogóle istnieje, a jak istnieje to w jakiej formie?

Ponieważ powinno Ci zależeć na bezpieczeństwie. poczytaj o SQL Injection raz jeszcze.

[MYSQL] pobierz, plaintext 
$sql = "SELECT * FROM users WHERE login = '$login'";
[MYSQL] pobierz, plaintext 

Po co pobierasz wszystko? Ogranicz się tylko do loginu i daj limit na 1.

Nie prościej do statusu? Statusu i tak potrzebuje...

co do zapytania - zwal na stronę mysql porównanie również hasła