SELECTクエリの問題 - ユーザーのログインシステム

Question

ログインしようとしたユーザーのユーザー名とパスワードを確認する単純なスクリプトを作成しようとしています。しかし、私はいくつかの問題に遭遇しています。

以下のスクリプトを実行しようとすると、SUCCESSは印刷しません。しかし、ユーザー名とパスワードが間違っているかのように、実際に入力されたユーザー名とパスワードが正しいことを知っています。

$username = $_POST['username']; 
$password = $_POST['password']; 

$result = mysql_query("SELECT * FROM users WHERE username='.$username.' AND password='.$password.'"); 

while($row = mysql_fetch_array($result)){ 
    echo 'SUCCESS'; 
} 

私はしかし、下のスクリプトを実行しようとすると、成功は正しいです、（私はこれまでのところ、私のデシベルを持っているサンプルユーザの数である）を2回出力します。

私は上記のAND MySQLクエリに問題があると思いますが、それは私には正しいようです...上記の最初のクエリに問題がありますか？もしそうでなければ、他に何が問題なのか？

​​

Answer 1

あなたはparsing variablesで、concatenatingではなく、.である必要はありません。

ぽっかり SQL injection脆弱性を無視

"SELECT * FROM users WHERE username='$username' AND password='$password'" 

Answer 2

usernameが保護キーワード あり、これを試してみてください。

$result = mysql_query("SELECT * FROM `users` WHERE `username`='$username' AND `password`='$password'"); 

Answer 3

が代わりにこれを試してみてください：

$result = mysql_query("SELECT * FROM users WHERE username=\"$username\" AND password=\"$password\""); 

明らかに、これはデータを挿入する素晴らしい方法ではありません。データを最小限にするには、mysqliを見てください。

Answer 4

、あなたは間違ってあなたのクエリ文字列を構築している：

$result = mysql_query("SELECT * FROM users WHERE username='.$username.' AND password='.$password.'"); 
                 ^  ^

あなたが表示された期間が過ぎている（とパスワードセクションの「文字列モード」のままです）ので、文字列連結を行うのではなく、クエリ文字列にリテラルピリオドを埋め込みます。

リモート期間

、あなたは（SQLインジェクションに対してまだ脆弱な）したほうが良いでしょう：余分"のI

$result = mysql_query("SELECT * FROM `users` WHERE `username`='".$username."' AND `password`='".$password."'"); 

お知らせ：

$result = mysql_query("SELECT * FROM users WHERE username='$username' AND password='$password'"); 

Answer 5

ではなく、このラインを試してみてくださいそれが探していた前に追加されました'.$username.'