检查用户名和密码是否正确答案

【问题标题】：Checking if Username and Password are correct检查用户名和密码是否正确
【发布时间】：2015-02-13 00:55:12
【问题描述】：

正如我现在的代码一样，无论用户名/密码是否匹配，我总是得到echo "Username/Password incorrect.";。我的问题是，我在下面的代码中做错了什么让 php 始终回显“用户名/密码不正确”

<?php
require 'privstuff/dbinfo.php';

$password1 = $_POST["password1"];
$username = $_POST["username"];

$mysqli = new mysqli(DB_SERVER, DB_USER, DB_PASSWORD, DB_DATABASE);


if(mysqli_connect_errno()) {
    echo "Connection Failed. Please send an email to owner@othertxt.com regarding this problem.";
    exit();
}

if ($stmt = $mysqli->prepare("SELECT username, password FROM accounts WHERE username=? and password=?")) {

    $db_pw = password_hash($password1, PASSWORD_BCRYPT);

    $stmt->bind_param("ss", $username, $db_pw);
    $stmt->execute();
    if ($stmt->affected_rows > 0) {

        echo "Logged in.";
    }else{
        echo "Username/Password incorrect.";
    }
    $stmt->close();
}
$stmt->close();

$mysqli->close(); 

?>

更新我已将if ($stmt->affected_rows > 0) 更改为if ($stmt->num_rows)。虽然仍然不起作用 更新 2 我意识到问题出在我使用 password_hash($password1, PASSWORD_BCRYPT); 我没有意识到哈希每次都会给出不同的字符串。我不了解如何使用 password_verify

【问题讨论】：

你的问题是什么？
你试过用$stmt->num_rows代替$stmt->affected_rows吗？
是的，我有@CharlotteDunois
转储 $stmt var_dump($stmt); 会得到什么？
当您获取用户信息时，为什么不直接检查呢？此外，您不能依赖 'select' 语句的 'affected row counts' 和 'row count' 值，因为某些驱动程序在您开始获取它们之前不会更新它们。它们都没有更新“总”计数，因为它们必须读取所有返回的行才能提供准确的计数。

标签： php login mysqli

【解决方案1】：

我想通了。我不应该再次使用 password_hash。我没有意识到使用 password_hash 会产生不同的结果。然后我将其更改为使用 password_verify。

<?php
require 'privstuff/dbinfo.php';


$username = $_POST["username"];
$password1 = $_POST["password1"];

$mysqli = new mysqli(DB_SERVER, DB_USER, DB_PASSWORD, DB_DATABASE);

// Check connection
if(mysqli_connect_errno()) {
    echo "Connection Failed: " . mysqli_connect_errno();
    exit();
}

/* create a prepared statement */
if ($stmt = $mysqli->prepare("SELECT `password` FROM `accounts` WHERE username = ?")) {

    /* Bind parameters: s - string, b - blob, i - int, etc */
    $stmt -> bind_param("s", $username);

    /* Execute it */
    $stmt -> execute();

    /* Bind results */
    $stmt -> bind_result($result);

    /* Fetch the value */
    $stmt -> fetch();

    /* Close statement */
    $stmt -> close();
}


if(password_verify($password1, $result))
{
    echo("Hello");
}else{
    echo("No-Go");
}

$mysqli->close(); 
?>

【讨论】：

【解决方案2】：

mysqli_stmt_affected_rows() 的文档说：

此函数仅适用于更新表的查询。为了从 SELECT 查询中获取行数，请改用mysqli_stmt_num_rows()。

您还需要先调用mysqli_stmt_store_results()，以缓冲结果。

$stmt->store_results();
if ($stmt->num_rows > 0) {
    ...
}

【讨论】：

刚刚查了一下。对于SELECTaffected_rows 的工作方式与 num_rows 类似。
documentation 说：此功能仅适用于更新表的查询。为了从 SELECT 查询中获取行数，请改用 mysqli_stmt_num_rows()。
然后我看到了一个过时的 mysql(i) 文档页面。感谢您的更新。
它可能作为一个未记录的功能工作，但仍然需要store_results()。
@Alnitak 为什么？不推荐使用 mysql，不推荐使用 mysqli。