PHP system logowania - błąd mysqli_real_escape_string() expects parameter 1 to be mysqli

Question

Cześć mam problem robiłem podobnie z instrukcją Pana Mirosława i mam taki problem:

 

Warning: mysqli_real_escape_string() expects parameter 1 to be mysqli, object given in C:\xampp\htdocs\projekt\panel.php on line 16

Warning: mysqli_real_escape_string() expects parameter 1 to be mysqli, object given in C:\xampp\htdocs\projekt\panel.php on line 17
Adrianlolek123string(45) "select * from admin where user='' AND pass=''" 0

http://wklej.org/id/3105823/

Powie mi ktoś co źle zrobiłbym?:) Dziękuję.

Answer 1

Patrząc na resztę kodu widać, używasz PDO, więc skąd nagle próbujesz użyć funkcji z mysqli_? To nie ma prawa zadziałać.

Zamiast tego użyj bindowania w PDO, bezpieczniejsze i lepsze.

Comments

W sensie że np:

 $dbh->bindValue(':id', $id, PDO::PARAM_INT )

i pozniej np :id  w zapytanie SQL tak?

---

Tak, coś takiego.

---

Mam pytanie zrobiłem cos takiego:

<?php

	session_start();
	
	require 'database.php';

	$login = $_POST['login'];
	$password = $_POST['password'];
	
	$login = htmlentities($login, ENT_QUOTES, "UTF-8");
	$password = htmlentities($password, ENT_QUOTES, "UTF-8");
	
	
	$pdo = Database::connect();
	$sql = ('SELECT * from admin WHERE user = :login AND pass = :status');
	$query = $pdo->prepare($sql);
	$query ->bindValue(':login', $login, PDO::PARAM_STR);
	$query ->bindValue(':password', $password, PDO::PARAM_STR);
	$query->execute(array());
	$findUser = $query->rowCount();
		if($findUser>0){
			$_SESSION['inside'] = true;
			$data = $query->fetch(PDO::FETCH_ASSOC);
			$_SESSION['name'] = $data['name'];
			header('Location: crude.php');							
		}
			else {
				$_SESSION['blad'] = '<span style="color:red">Nieprawidłowy login lub hasło!!</span>';
			}
				
echo $login;
echo $password;
var_dump($sql);
echo $findUser;
		

I mam taki blad

 

 

Warning: PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number: no parameters were bound in C:\xampp\htdocs\projekt\panel.php on line 19
Adrianlolek123string(58) "SELECT * from admin WHERE user = :login AND pass = :status" 0

 

Wiem ze odnosi sie do tej linijki

$query->execute(array());

"żadne parametry nie zostały powiązane" tzn??

Z góry dziękuje za odpowiedź

---

$sql = ('SELECT * from admin WHERE user = :login AND pass = :status');

Masz tutaj parametry o nazwie :login i :status, a bindujesz :login i :password - prawdopodobnie to jest problemem.

---

Sorry zmienialem pare razy probujac roznie i dlatego :D ale blad wciaz ten sam

 

Warning: PDOStatement::execute(): SQLSTATE[HY093]: Invalid parameter number: no parameters were bound in C:\xampp\htdocs\projekt\panel.php on line 19
Adrianlolek123string(60) "SELECT * from admin WHERE user = :login AND pass = :password" 0

 

Co teraz??

---

Hmm, może coś z tym pustym arrayem?

$query->execute(array());

On tu w zasadzie niepotrzebny, bo wszystko bindujesz już wcześniej. Spróbowałbym po prostu tak:

$query->execute();

 

---

Okej dzieki działa i mowisz ze ten sposob jest wporzadku jak na czysty php do logowania ???

---

Bindowanie jest bardzo w porządku, bo zapytanie wysyła osobno i wartości podstawia osobno, dzięki czemu atak sql injection jest niemożliwy.

Zły jest za to sposób przechowywania hasła - nie powinno się tego absolutnie robić jako czysty tekst, a jako nieczytelny dla nikogo hash - http://php.net/manual/en/function.password-hash.php i http://php.net/manual/en/function.password-verify.php

---

Okej a mam jeszcze jedno pytanie da rade zrobic domyslna wartosc value w inpucie czy nie??

Bo probowalem tak:

<input type="file" name="plik" value="C:\Users\Turqus\Desktop\aktywacja.png"/><br/>

i tak:

  <input type="file" name="plik" value="aktywacja.png"/><br/>

I nie dziala

---

Da radę, ale nie dla inputu typu file. Z tego co mi wiadomo ze względów bezpieczeństwa nie można ustawić domyślnej wartości - co by było, jakby ktoś ustawił jakiś Twój super tajny plik i wysłał automatycznie taki formularz? :P

---

Oki rozumiem :D dzieki