[SQL][PHP]Rejestracja PHP/PDO Opcje

[jarek998]

Witajcie

Mam problem dotyczący rejestrowania konta z obsługą PDO.

[PHP] pobierz, plaintext 
 $zapytanie1 = $db->query("SELECT COUNT(*) AS ok FROM uzytkownicy WHERE nick='".$_POST['nick']."' OR email='".$_POST['email']."'");
 
 
        if($zapytanie1->rowCount() > 0){
 
           $sprawdz = $zapytanie1->fetch(); 
 
echo "<script type='text/javascript'>window.alert('Taki gracz już istnieje')</script>";
[PHP] pobierz, plaintext 

Ten kawałek kodu ma za zadanie sprawdzenie czy dany nick lub email nie jest już używany przez innego gracza. Po naciśnięciu "Rejestruj" cały czas się pojawia "Taki gracz istnieje"

Z góry dziękuję za pomoc

[nospor]

Poniewaz Twoje zapytanie zwraca zawsze jeden rekord. A ten rekord zawiera dopiero szukaną liczbę rekordów...

[jarek998]

Obecnie jestem na etapie uczenia się zastosowania PDO w praktyce więc nie bardzo rozumiem ;x

Może byś pomógł ?

Tzn. Nie chodzi mi o to żebyś za mnie napisać kod, tylko żebyś mnie naprowadził .

[Turson]

SELECT COUNT(*) zwraca zawsze jeden rekord, a jego wartośc to np. 0 albo 2152929238
Więc albo robisz SELECT * a do tego rowCount() albo fetch() dla count

[viking]

Inna sprawa że jak już stosujesz PDO to przy okazji zabezpiecz zapytania. Teraz masz SQL Injection.

[jarek998]

Chodzi o funkcje prepare a potem bindValue?

PS. Zastosowałem SELECT * i działa poprawnie dzięki .

Ten post edytował jarek998 18.05.2015, 20:59:27

[Turson]

Tak

[jarek998]

[PHP] pobierz, plaintext 
 $zapytanie1 = $db->prepare("SELECT * FROM uzytkownicy WHERE nick=:nick OR email=:email");
 
      $zapytanie1->bindValue(':nick', $_POST['nick'], PDO::PARAM_STR);
 
      $zapytanie1->bindValue(':email', $_POST['email'], PDO::PARAM_STR);
 
      $zapytanie1->execute();
[PHP] pobierz, plaintext 

Czy to jest dobrze napisane, teraz jest zabezpieczone przed SQL Injection ?

Czy może mam jakiś błąd?

[Turson]