problema con query al db

[rockykinotto]

Nexus0100 niente da fare ho provato anche mettendo il codice come mi hai dato te ma niente da fare
non so davvero più dove battere la testa avevo già fatto una pagina di Login ma utilizzando i cookies invece delle sessioni è la prima volta che lavoro con le sessioni e quindi davvero non so dove battere la testa non riesco davvero a capire perchè su PHPmyadmin la query debba funzionare mentre sul codice PHP no. Ne approfitto per fare gli auguri di natale a te e a tutti quelli del forum e vi ringrazio nuovamente

[boots]

Codice PHP:

function logIn($user, $psw)
{
  $queryLogIn="SELECT * FROM user WHERE user='".$user."' AND      psw='".$psw."'";
  echo $queryLogIn;
  $resultLogIn=mysql_query($queryLogIn) or die ("Errore nella selezione dell'utente".mysql_error());
  $n=mysql_num_rows($resultLogIn);
  if($n>0)
{
    echo "login effettuato";
}else
{
   echo "errore login";  }
} 


Copiati la stampa della query e vedi se da phpmyadmin funziona

[Nexus0100]

Nexus0100 niente da fare ho provato anche mettendo il codice come mi hai dato te ma niente da fare
non so davvero più dove battere la testa avevo già fatto una pagina di Login ma utilizzando i cookies invece delle sessioni è la prima volta che lavoro con le sessioni e quindi davvero non so dove battere la testa non riesco davvero a capire perchè su PHPmyadmin la query debba funzionare mentre sul codice PHP no. Ne approfitto per fare gli auguri di natale a te e a tutti quelli del forum e vi ringrazio nuovamente

Ciao, il codice che intendevo con i punti non lo intendevo così:

Codice PHP:

$query="SELECT * FROM user WHERE user='.$user.' AND psw='.$psw.'"; 


Perché cos' recivi 0 risultati di sicuro essendo la query di uscita così:
SELECT * FROM user WHERE user = '.email@email.it.' AND psw '.password.';
Quello che intendevo io anche se non credo sia questo il problema era provare a sccrivere:

Codice PHP:

$query = "SELECT * FROM user WHERE user.user='$user' AND psw = '$psw';" 


Nel caso fai come ha detto boots:

Codice PHP:

$queryLogIn="SELECT * FROM user WHERE user='".$user."' AND      psw='".$psw."'";
echo $queryLogIn; 


E vedi cosa stampa

Un altra cosa non so se influenzi molto il codice successivo ma per scrivere la variabile di sessione $_SESSION['user'] = $user; io scriverei le parentesi quadre attaccate alla variabile, tu hai lasciato uno spazio, non penso cambi molto, ma per sicurezza...

[rockykinotto]

Perdonatemi mi sento davvero impedito perchè non riesco a capire se sto sbagliando io o non funziona, di sicuro sarà la prima. Io il controllo su PHPMyAdmin con cosa lo devo fare? Ovvero nella schermata di SQL della tabella user di Altervista cosa devo scrivere per vedere se il problema fosse li? Io ho scritto SELECT*FROMuserWHERE`user`="ismi-paola"AND`psw`="ismi" e la risposta è: Mostro le righe 0 - 0 (1 total, La query ha impiegato 0.0003 sec) quindi presumo che la query sia andata a buon fine di fatti mi fa vedere il risultato però davvero non riesco a capire cosa sto sbagliando. Poi un'altra domanda so che è stupida ma non riesco a capire, echo $queryLogIn; dove me lo dovrebbe stampare il risultato? mi serve per stamparlo su PHPMyAdmin? come? vi chiedo davvero scusa e mi sento anche un po in imbarazzo a chiedervi queste cose che molto probabilmente sono le basi del PHP ma se non vi faccio queste domande non riuscirò davvero mai a capire

[rockykinotto]

Vi chiedo umilmente scusa per avermi fatto praticamente perdere tempo, anche se poi alla fine ho imparato comunque qualcosa ho notato adesso che avevo sbagliato una lettera nella variabile $psw della pagina login e quindi non gliela passava ecco perch� secondo lui la query era vuota, vi chiedo nuovamente scusa ho controllato molte volte ma non me ne ero davvero accorto vi chiedo davvero scusa. Adesso per� avrei una domanda da farmi per il fatto della sicurezza che mi avevato fanno notare nelle prime risposte cosa posso fare? scusatemi di nuovo e vi ringrazio davvero per le vostre risposte.

[Nexus0100]

l'echo della query viene stampato sul browser nella pagina che esegue il codice php, serve per vedere la query come è sostituendo le variabili con i contenuti. Se lanci quella query e da phpmyadmin ti ritorna un "mostro le righe 0 - 0 1 totale", vuol dire che una riga la ha trovata, perciò questo vuol dire che la query come la lanci tu è corretta ma questo non vuol dire che quella che lancia il php lo sia, se per esempio le variabili che usi sono state riempite male la query potrebbe diventare:
SELECT * FROM user WHERE user = '' AND psw = ''; e questo non da risultati.
Controlla cosa stampa quell'echo

(Spero di essermi spiegato)

[rockykinotto]

Come detto era solamente un mio problema che sono mezzo cecato e non sono riuscito a vedere la differenza di una lettera e me ne sono accorto solamente adesso Grazie comunque perchè sei stato più che chiaro per il problema della sicurezza con il login come posso fare?

[Nexus0100]

Vi chiedo umilmente scusa per avermi fatto praticamente perdere tempo, anche se poi alla fine ho imparato comunque qualcosa ho notato adesso che avevo sbagliato una lettera nella variabile $psw della pagina login e quindi non gliela passava ecco perch� secondo lui la query era vuota, vi chiedo nuovamente scusa ho controllato molte volte ma non me ne ero davvero accorto vi chiedo davvero scusa. Adesso per� avrei una domanda da farmi per il fatto della sicurezza che mi avevato fanno notare nelle prime risposte cosa posso fare? scusatemi di nuovo e vi ringrazio davvero per le vostre risposte.

Scusa non ho visto il messaggio, comunque addesso apro un post pure io per quello perché ho avuto un problema con una funzione, per il fatto della sicurezza io ti consiglio mysql_escape_string($user) in questo modo se un malintenzionato ti inietta codice mysql viene fatto l'escape che sarebbe così:
Io inserisco nel campo ciao' OR 1 = '1 che renderebbe la tua query così:
SELECT * FROM user WHERE user = 'email' AND psw = 'ciao' OR 1 = '1';
In questo modo la query cambia di significato, usando quella funzione questo (ciao' OR 1 = '1) diventa: ciao\' OR 1 = \'1
e non hai più il problema

[rockykinotto]

Tranquillo anzi scusa te perchè ti ho fatto perdere tempo, mysql_escape_string($user) dove lo dovrei inserire?

[Nexus0100]

Ma no tranquillo, capita a tutti di avere delle sviste (soprattutto per i ; ), puoi fare anche una cosa del genere

Codice PHP:

$query = "SELECT * FROM user WHERE user = '".mysql_escape_string($user)."' AND psw = '".mysql_escape_string($psw)."';" 


Anche se per la password io consiglio di tenere crittografate sul db usando la funzione di crittografia SHA1 facendo perciò:

Codice PHP:

$query = "SELECT * FROM user WHERE user = '".mysql_escape_string($user)."' AND psw = '".sha1($psw)."';"