query malvagia

**biscardo** · 27-01-2006, 11:24

Mi sapreste dire cosa c'è di sbagliato in questa query?

codice:

$sql = @mysql_query("SELECT password FROM utenti WHERE   nome=" . '$_post['user'] . "'", $db);

sto provando a farla funzionare da tempo, ma niente. a seguire il codice per intero. mi sono assicurato che il database è popolato, i parametri di connessione sono giusti... ma cosa sbaglio? quando provo a connettermi, mi da il link come se avessi effettivamente effettuato il login ma non installa il cookie... pure se sbaglio volontariamente password javascript:smilie('

')
Piango non succedete esattamente niente

codice:

<html>
<body vlink="black">
<?php
$username="nick";
$password="*********";
$host="localhost";
$database="my_nick";
 $db=mysql_connect($host, $username, $password) or die("Errore durante la connessione al database");
 $select_db=mysql_select_db($database, $db) or die("Errore durante la selezione del database");

if(isset($_POST['invio'])){
 $sql = @mysql_query("SELECT password FROM utenti WHERE   nome=" . '$_post['user'] . "'", $db);
 if($_post['pass']==$sql){
  setcookie("nome", $_post['user'], time()+100000000000000);
  ?>
  <table align="center">
  <tr>
  <td>Grazie, ti sei connesso!</td>
  </tr>
  </table>
  <?php
 }else{
  echo"Nome o password errati!";
 }
}else{
echo"Devi compilare il modulo del login!";
}
?>
</body>
</html>

**biscardo** · 27-01-2006, 11:29

non so se è importante, ma forse dovrei impostare il campo nome come chiave primaria?

**ken84** · 27-01-2006, 11:34

se fai così:

codice:

$sql = @mysql_query("SELECT password FROM utenti WHERE nome=" .'$_post['user']."'", $db) or die("Errore: ".mysql_error());

ti restituisce qualche errore?Se sì, quale?

Ciao

**13manuel84** · 27-01-2006, 11:36

il problema è che non ti entra sia nell'if che nell'else? hai provato a verificare che la query sia corretta? non hai usato la notazione dell'errore? almeno in fase di debug togli quelle @ che nascondono gli warning...

Prova ad eseguire così la query:

codice:

$sql = mysql_query("SELECT password FROM utenti WHERE nome=" .'$_post['user']."'", $db) or die("Errore: ".mysql_error());

ricevi qualche errore?

**13manuel84** · 27-01-2006, 11:36

Originariamente inviato da ken84
...

mi hai preceduto

**13manuel84** · 27-01-2006, 11:38

così ad occhio e croce comunque hai sbagliato l'uso degli apici...così è corretta:

codice:

$sql = mysql_query("SELECT password FROM utenti WHERE nome='" .$_POST['user']."'", $db) or die("Errore: ".mysql_error());

**biscardo** · 27-01-2006, 12:34

grazie che siete accorsi
non mi restituisce alcun tipo di errore, e quel @ l'avevo messo oggi. ora porvo a toglierlo e a seguire gli altri suggerimento

**biscardo** · 27-01-2006, 12:46

se prima mi dava password o nome sempre giusti, adesso sempre sbagliati...

ma in compenso, posso dedurre la natura dell'errore: quel messaggio viene visualizzato se il valore immesso come password non corrisponde a quello selezionato dalla query, cioè il campo password corrispondente al nome immenso. se mi da errore, i motivi sono due:
1) la password del nick è sbagliata
2) il nick per la password è sbagliato
e visto che password e nick sono giusti...

**biscardo** · 27-01-2006, 17:56

allora? niente suggerimenti?

**giacomino_jack** · 27-01-2006, 18:03

Visualizza con un echo il testo della query che mandi in pasto a mysql.

Poi prova a copiarla ed eseguila direttamente in mysql (ad esempio con phpmyadmin )

Almeno riesci a determinare se la query ti ritorna o non un record (piu' di uno...)

Discussione: query malvagia

Strumenti discussione

Ricerca discussione

Visualizza

query malvagia

Permessi di invio