这两行PHP代码是什么意思？

Question

如果用户在登录页面的密码和登录字段中键入正确的信息，我目前正在编写一个脚本来登录用户。该脚本运行良好，但我实际上并不知道这两行代码对整体用户体验的意义和作用。

我很快就要参加考试，我必须解释代码的含义，如果你们帮助我解释下面两行代码的作用，那将是绝对令人惊奇的。这是完整的脚本：

<?php  

require('db_connect.php');

if (isset($_POST['user_id']) and isset($_POST['user_pass'])) {

    $username = $_POST['user_id'];
    $password = $_POST['user_pass'];

    $query = "SELECT * FROM dataforlogin WHERE username='$username' and password='$password'";

    $result = mysqli_query($connection, $query) or die(mysqli_error($connection));
    $count = mysqli_num_rows($result);

    if ($count == 1) {

        header("location: ../staudal/dashboard/index.php");

    } else {

        echo "Fail";

  }
}

?>

我无法理解的两行代码是：

$result = mysqli_query($connection, $query) or die(mysqli_error($connection));
$count = mysqli_num_rows($result);

他们做什么以及为什么？

Answer 1

这是一个很好的问题，因为根据现代安全和应用程序设计标准，这些行大多是错误的或无用的。我从来没有想过仅仅两行代码就有这么多错误。

• mysqli_query() 将您的查询发送到 MySQL 服务器。但是，这不是您运行 mysql 查询使用变量 的方式。 A prepared statement must be used instead.
• die(mysqli_error($connection)) 旨在在查询执行失败时停止代码执行并显示 mysql 错误（特别是，or die() 做了很多有趣的事情，我有一个 article that explains this。但是，不是这样 你在 PHP 中报告 mysql 错误。A single configuration option must be used instead. 这在很多方面都会更好，从编写的代码量到更好的用户体验。
• mysqli_num_rows($result) 告诉您返回查询的行数。一个基本没用的函数，you can always use the returned data instead
• WHERE username='$username' and password='$password' 不是您在数据库中检查密码的方式。 A hashed password must be retrieved from the database and then checked using password_verify() function

应该是这样的

$stmt = $mysqli->prepare("SELECT * FROM dataforlogin WHERE username = ?");
$stmt->bind_param("s", $username);
$stmt->execute();
$result= $stmt->get_result()
$user = $result->fetch_assoc();

if ($user && password_verify($password, $user['password']))
{
    // write some info into the session
    header("location: ../staudal/dashboard/index.php");
    exit;
} else {
    echo "invalid";
}

• 在第一行中，我们正在准备带有问号的 sql 查询，问号放置在变量应该去的位置（因此它被称为占位符）。
• 在第二行中，我们将实际变量绑定到占位符，因此它将与查询分开发送到 mysql 服务器，它们将无法干预。
• 然后实际执行查询。
• 然后我们得到mysqli_result 变量，旧mysql 或新mysqli 查询的所有用户都熟悉-查询返回的实际数据源。
• 然后我们正在尝试获取选定的行。
• 那么我们同时检查两件事，
  • 我们的查询是否返回任何行
  • 如果是，从表单发送的密码是否与使用 password_verify() 函数存储在数据库中的密码相同
• 其余部分与您的代码中的相同，除了两件事
  • 在重定向用户之前，您应该将一些关于他们的信息写入会话中，以便在其他页面上识别他们
  • 最好在发送 Location 标头后添加exit。

希望这些解释对你的老师来说足够了

说真的，这个问题应该提高人们对 PHP 教育状况的认识。大多数在线和离线资源都在教授它，就好像它仍然是 PHP3 一样，只是对已弃用的功能进行了轻微的整容。但是这种在很多方面都是错误的方法仍然是一样的。

Answer 2

$result = mysqli_query($connection, $query) or die(mysqli_error($connection));

这将执行 MySQL 查询，例如 SELECT * FROM <i>table</i> WHERE id = ?，然后保存结果。或者，如果查询失败，它会返回错误消息。

$count = mysqli_num_rows($result);

这只是返回您的查询返回的行数。

Answer 3

首先我想说，请使用准备好的语句。

$result = mysqli_query($connection, $query) or die(mysqli_error($connection));

mysqli_query() 函数对数据库执行查询，$connection 变量打开一个与您已在 db_connect.php 中创建的 MySQL 服务器的新连接，并检查连接是否已建立或不。如果没有，die() 函数将运行。它用于打印消息并退出当前的 php 脚本。

$count = mysqli_num_rows($result);

mysqli_num_rows() 函数将返回结果集中的行数，您将该数字存储到 $count 变量中。

希望对你有帮助

Answer 4

我是一名初级开发人员，但我希望这个答案对您的代码有所帮助：

1. $result = mysqli_query($connection, $query) or die(mysqli_error($connection));

   • $result 是一个 php 变量

   • mysqli_query($connection, $query) 表示 mysqli_query 将使用 db_connect.php 中声明的数据库连接数据库来运行查询 [$query = "SELECT * FROM dataforlogin WHERE username='$username' 和密码='$password'";]

   • 或死(mysqli_error($connection));表示如果mysqli_query没有找到指定的数据库或表，在这种情况下（dataforlogin），它会显示你的db_connect.php中指定的连接错误

2. $count = mysqli_num_rows($result);

   • $count 是一个 php 变量

   • mysqli_num_rows($result);意味着 $count 等于运行 mysqli_query($connection, $query) 时在 $result 的表 (dataforlogin) 中找到的行数。

注意：请避免使用 --- 或 die(mysqli_error($connection) 行，因为它可能会阻止页面加载，没有必要。