Problém s mysql_query

~ Anonymní uživatel
~ 1 příspěvek

17. 1. 2015 #1

Zdravím,

Jako závěrečku na informatiku jsem se rozhodl udělat eshop, ale moc se v php + mysql neorientuju, tak jedu podle návodu, jenže mi nefunguje přihlášení.

tady je můj kód

<?php
    session_start();
    if(isset($_SESSION["manager"]))
        {
            header("location: index.php");
            exit();
        }
?>
<?php
    if (isset($_POST["username"]) && isset($_POST["password"]))
    {
        $manager = $_POST["username"];
           $password = $_POST["password"];
        
        include "../scripts/connect_to_mysql.php";
                
        $sql = mysql_query("SELECT id FROM admin WHERE username='$manager' AND password='$password' LIMIT 1");
                
        $existCount = mysql_num_rows($sql);
        if ($existCount == 1) 
        { 
             while($row = mysql_fetch_array($sql))
             { 
                 $id = $row["id"];
             }
             $_SESSION["id"] = $id;
             $_SESSION["manager"] = $manager;
             $_SESSION["password"] = $password;
             header("location: index.php");
             exit();
        }
        else
        {
            echo "Špatně zadané údáje, zkuste <a href='index.php'>to znovu.</a>";
            exit();
        }
    }

?>

Jenže když se zkusím přihlásit, tak mi prohlížeč napíše tohle:

Deprecated: mysql_query(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in mojecesta\mujeshop\admin\admin_login.php on line 17

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in mojecesta\mujeshop\\admin\admin_login.php on line 19

Udělal sem všechno podle návodu, ale nejde to.. Přitom pánovi v návodu to šlape. Ocením všechny rady, děkuji.

Nahlásit jako SPAM

IP: 193.165.72.–

Kit+15

Guru

17. 1. 2015 #2

#1 Dreity
Funkce mysql_query byla zavržena a bude odstraněna.

V proměnné $sql nemáš SQL, proto by se měla jmenovat jinak. Obvykle $result.

V SQL dotazu máš závažnou bezpečnostní díru.

SQL dotaz zřejmě hlásí nějakou chybu, kterou ignoruješ. Proto následující příkaz selže.

Nahlásit jako SPAM

IP: 46.174.34.–

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

peter

~ Anonymní uživatel
~ 3981 příspěvků

19. 1. 2015 #3

Viz Kit
$sql = mysql_query("SELECT id FROM admin WHERE username='$manager' AND password='$password' LIMIT 1");
prepis to na

        $query = "SELECT id FROM admin WHERE username='$manager' AND password='$password' LIMIT 1");
        echo "<hr>$query<hr>"; // vypise sql dotaz, ktery muzes zkopirovat do phpmyadmina
        $result = mysql_query($query) or die(mysql_error()); // vypise chybu

a pak taky to oprav tady na $result
$existCount = mysql_num_rows($sql); // zde
if ($existCount == 1) { while($row = mysql_fetch_array($sql)) // zde

A taky si to oprav bezpecnostni chyby a po odladeni smaz tu cast s "or die(...)", protoze to je taky bezpc. chyba, kdyz to hackerovi neco vypisuje.

Nahlásit jako SPAM

IP: 2001:718:2601:1f7:204b:51...–

← Zpět na seznam vláken ← Zpět do Fóra