Как методами Php послать запрос Sql на поиск в базе?

Как методами Php послать запрос Sql на поиск в базе?

25.09.2006, 03:15

PEPSICOLA

Познавший АНТИЧАТ

Регистрация: 14.10.2004

Сообщений: 1,162

С нами: 11353286

Репутация: 2944

Как методами Php послать запрос Sql на поиск в базе?

Авторизация в портале\форуме.

Имеется база данных пользователей. В таблице users есть столбик login и password.

С регистрацией всё ясно, пользователи в базе.

Авторизация...

Допустим получаем методом POST:

$login = "admin";
$password = "123";

К MySQL базе подключились, к таблице users тоже.

Как должен выглядить sql запрос на поиск в таблице login'a и правильного к нему password'a?

$query = "SELECT * FROM users"; (Вот тут уже не знаю, в самоучителе не написано

)

NEED HELP!

______________________________________

И появилась проблема в phpmyadmin

utf8 vs cp1251

В готовой таблице есть login = admin, password - 123.

Я в phpmyadmin иду по ссылке "искать" (там где: Или Выполнить "запрос по примеру" (символ подстановки: "%")), значит пишу в строчке для столбика Login: admin, в строчке для столбика password: 123, меняю оператор "LIKE" на "="... а результат:

MySQL вернула пустой результат (т.е. ноль рядов). (Запрос занял 0.0004 сек)

Цитата:

SQL-запрос:
SELECT *
FROM `users`
WHERE `login` = CONVERT( _utf8 'admin'
USING cp1251 )
COLLATE cp1251_general_ci
AND `password` = CONVERT( _utf8 '123'
USING cp1251 )
COLLATE cp1251_general_ci
LIMIT 0 , 30

Думаю что ошибка в кодировке... Что делать не знаю.

SOS! Please!

𝕏 Twitter Reddit Telegram Копировать ссылку

25.09.2006, 03:51

hidden

Постоянный

Регистрация: 23.04.2006

Сообщений: 622

С нами: 10552646

Репутация: 1292

Не знаю зачем заставлять SQL кодировать в utf8, когда проще заранние средствами php закодировать,
а вообще, латинский алфовит и цифры в utf8 так и остаются сами собой, так что дело не в этом.
Вообше не проверял, но вроде так правильно
'SELECT * FROM login WHERE login="'.utf8_encode(preg_replace('/"/','`',$login)).'"' AND password="'.utf8_encode(preg_replace('/"/','`',$pass)).'"'

25.09.2006, 03:53

VampiRUS

Участник форума

Регистрация: 31.12.2005

Сообщений: 231

С нами: 10715512

Репутация: 366

Отправить сообщение для VampiRUS с помощью Yahoo

можешь так попробывать:

Код:

<?$sql="select password from users where login='$login'";
        $result=mysql_query($sql);
        $row=mysql_fetch_row($result);
        $num_rows=mysql_num_rows($result);
        if (($num_rows==1) && (!strcasecmp(md5($password),$row[0]))) {
//логин и пароль верные, если хеширования нету то&& (!strcasecmp(md5($password),$row[0])) убери
?>

25.09.2006, 08:51

Zadoxlik

Постоянный

Регистрация: 28.02.2005

Сообщений: 853

С нами: 11156006

Репутация: 749

Какие все Эксперты собрались, кто-то кавычки регулярными выражениями вырезает, зачем-то заменяя их на другие символы, что конечно неприемлимо для нормального ресурса, а кто-то, даже не смотря на тематику сего форума, даже и не почесался об этом...
Чтобы все было корректно, стоит отключить magic_quotes_gpc и при SELECTе можно пользовать mysql_real_escape_string и еще вырезать str_replaceом пару символов, когда уточняющая информация в LIKE

25.09.2006, 09:41

VampiRUS

Участник форума

Регистрация: 31.12.2005

Сообщений: 231

С нами: 10715512

Репутация: 366

Цитата:

а кто-то, даже не смотря на тематику сего форума, даже и не почесался об этом...

Небудем показывать пальцем)).Человеку нужно извлечь, значит извлекаем и ничего лишнего, о безопастности он сам должен думать, без подсказок.

25.09.2006, 17:28

Zadoxlik

Постоянный

Регистрация: 28.02.2005

Сообщений: 853

С нами: 11156006

Репутация: 749

Цитата:

Сообщение от VampiRUS

В данном случае сделать запрос безопасным является необходимой компонентой написания корректно работающего запроса

25.09.2006, 10:13

Егорыч+++

Познавший АНТИЧАТ

Регистрация: 27.05.2002

Сообщений: 1,241

С нами: 12607586

Репутация: 0

Цитата:

Сообщение от PEPSICOLA

Причем тут кодировка вообще. У тебя весь текст вообще латинско-цифровой. Убери нафиг все кодировки из селекта.

25.09.2006, 12:11

Trinux

Познавший АНТИЧАТ

Регистрация: 26.11.2004

Сообщений: 1,149

С нами: 11291306

Репутация: 569

пепсик привет =))) рад что начинаешь вникать =)
Самоучители выбрось, http://dev.mysql.com/doc тебе в помощь. насчет твоего запроса, то оптимально будет примерно так:

PHP код:


		
			
<?

if(isset($_POST['login']) && isset($_POST['password'])){

  $sql=mysql_query("SELECT passwd FROM users WHERE login='".addslashes($_POST['login'])."' LIMIT 1");

  if(mysql_num_rows($sql)){

    if(mysql_result($sql, 0,  'passwd')==md5($_POST['passwd'])){

      echo 'вы авторизировались';

    }else{echo 'пароль неверен';}

  }else{echo 'логина не существует в базе';}

}

?>

Как видишь, язык sql запросов очень прост. Кодировка тут не при чем ) Забудь о ней =) В запросе я сверяю только логин потому что оптимальнее искать поле по одному составляющему, чем по двум. Проверка пароля php намного быстрее, чем mysql будет искать все поля с таким пассом, после того как найдет все логины. И еще, логины при такой схеме должны быть уникальным полем. Поставь в phpmyadmin этому полю UNIQUE индекс. И вообще индексируй все поля, по которым будешь проводить поиск в базе