sql查询每次都失败

Question

<html>
<head>
</head>
<body>
<form action="login_process.php" method="post">
SID: <input type="text" name="sid">
<br />
Password: <input type="text" name="pw">
<br />
<input type="submit" value="Login">
</form>
</body>
</html>

login_process.php FILE

<html>
<head>
</head>
<body>
<?php
include ("connection.php");

$sid = $_POST['sid'];
$pw = $_POST['pw'];

setcookie("username", "$sid". time()+86400);

$result = mysqli_query($con, "SELECT SID FROM student_table WHERE SID='$sid' and password='$pw'") or die('Query failed');


if(!$result){
    echo "Failed";
    } else {
        echo "success". $_COOKIE['username'];
        $_SESSION['username'] = $sid;
        }        
?>
</body>
</html>

我的student_table 中有数据。但无论我给出什么输入，它都表示成功。即使我在没有任何输入的情况下单击登录按钮，它仍然显示成功。请帮忙。

Answer 1

在 sql 查询中赋值时应该使用引号。

SELECT 
    SID 
FROM 
    student_table 
WHERE 
    SID = '$sid' and password = '$pw'

也期待Prepared Statements来保护自己免受sql注入。您还应该添加下面的代码来获取选定的行：

while ($row = mysqli_fetch_array($result)) {
   $_SESSION['username'] = $row['SID'];
}

Answer 2

开始学习基本调试：

当查询失败时，只需这样做：

不要运行它（mysql_query，或 mysqli_query 或任何你有的），ECHO 它：

echo "SELECT SID FROM student_table WHERE SID='$sid' and password='$pw'";

提交表单后，您将看到正在运行的查询，转到 phpmyadmin 或您使用的任何工具并手动运行查询。看看是否有错误，也更容易看到发生了什么。建议当您这样做时，首先尝试 phpmyadmin 中的查询，然后在您确信它们没问题后将它们应用到代码中。

Answer 3

这并不是一个真正的答案，而是更多关于如何在您的代码无法按预期工作时找出问题所在。

首先，始终将您的 SQL 放入一个变量中。为什么，所以你可以“var_dump”它，看看发生了什么。所以，试试这个：

$sql = "SELECT SID FROM student_table WHERE SID=$sid and password=$pw";

var_dump($sql, 'my_query'); // you will see what PHP created.

然后尝试提供的答案：

$sql = "SELECT 
    SID 
FROM 
    student_table 
WHERE 
    SID = '$sid' and password = '$pw'";

至少你会看到可能不正确的地方。

var_dump($sql, 'the answer_query'); // you will see what PHP created.

$result = mysqli_query($con, $sql) or die('查询失败');

外引号必须是"（双引号）而不是"'"（单引号）两者都是完全有效的PHP。前者允许在字符串中替换变量。 后者会将所有内容视为文字字符串。