comment valider le php simple formulaire de connexion avec la mysqli requête?

c'est mon code php

<?php
$con=mysqli_connect("","","","");
if (mysqli_connect_errno()) {   echo "Failed to connect to MySQL: " . mysqli_connect_error();
}\\check connection
$username = mysqli_real_escape_string($con, $_POST["username"]); $password=mysqli_real_escape_string($con$_POST["password"]); \\get the input values                                              
if ($_SERVER["REQUEST_METHOD"] == "POST")\\check for the form method
{
    session_start();\\start the session 
if(!empty($_POST["username"]))
{
    if(!empty($_POST["password"]))
    {\\ if the username and password is not empty,then execute the query

    $res=("SELECT * FROM personal WHERE username='".$username."' password='".$password."') or die(mysqli_error());\\get the row value accoring to the input username and password
    if(mysqli_num_rows($res) == 1)\\to check the number of rows, if it is 1 then execute the loop
    {
        $row = mysqli_fetch_array($res,MYSQLI_ASSOC);
        $user = $row['username'];
        $pass = $row['password'];\\assign the row values to the variables
        if ($password != $pass)
        {
       echo"Please Register your details";
        } \\if not match
        else{
            header("Location:home.php");
        }\\else goto home page
    }
    else{
        echo"Enter the Valid Password";\\error message
        }
}
else {
    echo"Enter the Valid Username";\\error message
}
}
mysqli_free_result($res);
}
mysqli_close($con);\\close connection

et mon formulaire html est

<!DOCTYPE HTML>
<html> 
<head>
<title>Sign-In</title>\\title of the page
</head>
<body id="body-color">

<div id="Sign-In">

<fieldset style="width:30%"><legend>LOG-IN</legend>\\field setup

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">\\open form tag

Username: <br><input type="text" name="username"  maxlength="50" value="<?php echo $username;?>"><br>\\get user name

Password: <br><input type="password" name="password" maxlength="50"value="<?php echo $password;?>"><br>get the password

<input type="submit" value="Log-In">\post the details
</form>\\close form

</fieldset>

</div>

<p>If you are not a exsiting user go to <a href="reg.php">Register</a></p>\\ link to the next page

</body>

</html>\\close html file
  • où avez-u définir le $_POST params de variables?
  • À partir de la mise en valeur du code, vous pouvez voir que vous foiré les guillemets sur la ligne une.
InformationsquelleAutor user3452251 | 2014-07-08
  1. 2

    https://codereview.stackexchange.com/ serait un meilleur endroit pour des trucs comme ça. C'est absolument pas clair ce que vous êtes en train de demander, donc j'ai juste refait votre code PHP et espérons que cela pourrait les aider.

    <?php

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);

$username = filter_input(INPUT_POST, "username", FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_LOW);
$password = filter_input(INPUT_POST, "password", FILTER_UNSAFE_RAW);

if ($username && $password) {
  try {
    $connection = new \mysqli("localhost", "root", "password", "database");
    $stmt = $connection->prepare("SELECT `id`, `password` FROM `personal` WHERE `username` = ? LIMIT 1");
    $stmt->bind_param("s", $username);
    $stmt->execute();
    $stmt->bind_result($id, $hash);
    $found = $stmt->fetch();
    if ($found === true && password_verify($password, $hash)) {
      session_start();
    }
    else {
      echo "We either don't know the username or the password was wrong.";
    }
    $stmt->close();
    $connection->close();
  }
  catch (\mysqli_sql_exception $e) {
    echo "An error ocurred while communicating with the database, please hang in there until it's fixed.";
  }
}
else {
  echo "Please enter a username and a password.";
}
    • Utilisation des exceptions au lieu de vérifier les valeurs de retour de chaque fonction et/ou de l'appel de méthodes supplémentaires.
    • Utiliser le code orienté objet pour une meilleure lisibilité.
    • Utiliser des requêtes préparées pour s'assurer qu'aucune injection SQL est possible.
    • Utilisation de PHP ( les fonctions de mot de passe .
    • Utilisation de PHP ( les fonctions de filtrage .
    • Ne pas dire au client ce qui s'est vraiment passé mal (inconnue nom d'utilisateur et/ou mot de passe incorrect).
    InformationsquelleAutor Fleshgrinder
  2. 0

    Ne sais pas ce que vous voulez, mais je pense que leur erreur dans votre code.

      $res="SELECT * FROM personal WHERE username='".$username."' password='".$password."'";
  $result=mysqli_query($con,$sql));
  if(mysqli_num_rows($result) == 1)
   {

    }

    Vous avez déclaré la requête sql dans la chaîne, mais jamais tiré.

    Si c'était à l'origine des problèmes, cela devrait résoudre.

    InformationsquelleAutor ALOK