別のSQLクエリーを追加して

Question

Okeyだから私は試してみるつもりです。正しいパスワードを取得した後、テーブルからユーザー情報を取得します。この後、どうやってこれを実行できますか？

$sql = "select password from users where name = '" . $_POST['name'] . "' and password='" . $_POST['pass'] . "'"; 
$result = $conn->query($sql); 

if ($result->num_rows > 0) { 
    while($row = $result->fetch_assoc()) { 
     echo "succesful"; 
     $name = $_POST['name']; 
     $_session['sessionid'] = id(); 
     // 
     //Im gonna do a sql query here! 
     // 
     echo '<h1 style="text-align: center;">Logged in!</h1>'; 
     $_SESSION['user']= $_POST['name']; 

Answer 1

それはちょうどあなたのクエリで$ _POST [「name」を]使用することは非常に危険だ最大まず、あなたが最初にそれをきれいにする必要があります。 mysql_real_escape_string（）[これは推奨されないかもしれませんが]を使用することができます。準備された声明も見てください。これも役立ちます。 https://www.w3schools.com/php/php_mysql_prepared_statements.asp

実際の質問にお答えします。パスワードではなく、最初のクエリからユーザーのIDを返す必要があります。その後、IDを使用して、その論理ブロック内のユーザー情報を引き出すことができます。