Poprawność kodu, błędy.

Question

index.html:
 

<!doctype html>
<html>
<head>
<title>Strona logowania !</title>
<meta charset=uft-8>
</head>
<body>
<form action="loguj.php" method="POST">
Login: <input type="text" name="login">
<br />
Password: <input type="password" name="password">
<input type="submit" value="Submit">
</form>
</body>
</html>

loguj.php:
 

<?php
$polaczenie = @new mysqli('localhost', 'root', '', 'ksiegarnia');
if (mysqli_connect_errno() != 0){
	echo '<p> Wystąpił błąd połączenia: ' . mysqli_connect_error() . '</p>';
}
else {
	$login = $_POST['login'];
	$password = $_POST['password'];
	$wynik = @$polaczenie -> query('SELECT * FROM klienci WHERE imie="'$login'" and nazwisko="'$password'"');
	if ($wynik === False)
	{
		echo '<p>Zapytanie nie zostało wykonane poprawnie</p>';
		$polaczenie -> close();
	}
	else
	{
		echo 'Udało się zalogować: . '$login' . ';
	}
$polaczenie -> close();
}
?>

Coś mi tutaj nie działa. Cchciałbym jeszcze jeśli nie wyszuka w bazię tego imienia i nazwiska to znowu przechodziło do index.html i wyświetlało poniżej formularza na czerwono(nieprawidłowy login lub hasło).

Answer 1

"Coś mi tutaj nie działa". Aha. I mamy się domyślić, co nie działa? ;)

Jeśli chcesz żeby w index.php wyświetlał się tekst w zależności od zalogowania/niezalogowania, musisz w tym pliku dodać kod php, który np. sprawdzi zmienną sesyjną i na podstawie jej isntnienia/nieistnienia zachowa się w odpowiedni sposób.

Answer 2

Mi wpadła w oko źle wykorzystana konkatenacja
echo 'Udało się zalogować: . '$login' . ';  
powinno byc  echo 'Udało się zalogować: ' . $login;

No i po co tyle tych średników w kwerendzie, można napisać tak:

("SELECT * FROM klienci WHERE imie='$login' and nazwisko='$password'")

Sprawdziłem u mnie i po tych poprawkach powinno działać, oczywiście ze względu na brak issetów rzyga notice'ami i źle ulokowane jest  $polaczenie -> close(); no i zapytanie wykonuje się poprawnie nawet dla pustych formularzy ze względu na brak sprawdzenia ich spójności. Select się wykonuje, zwraca pusty wynik a pusty wynik !== false

 

Answer 3

• Zacznijmy od sprawy dostępności: każde pole formularza (pomijając przyciski ofkorz) MUSI (tak - MUSI) mieć etykietkę w label
• Dobrym zwyczajem jest podawanie kodowania na samym początku head
• W pliku od logowania nawet nie sprawdzasz czy ktoś wysłał formularz tylko na pałę przyjmujesz, że tak. Powinieneś to sprawdzać (np. przez sprawdzenie czy $_SERVER['REQUEST_METHOD'] równe jest POST)
• Wywal wszystkie operatory @ z kodu - błędy lepiej obsłużyć niż je tłumić
• Wkładasz zmienne z formularza wprost do zapytania - to książkowy przykład podatności SQLi. Radzę poczytać o prepared statements albo przynajmniej zapoznać się z funkcją mysqli_real_escape_string
• No i w zapytaniu masz źle przeprowadzoną konkatenację stringów. Jak już powinno być:

  'SELECT * FROM klienci WHERE imie="' . $login . '" and nazwisko="' . $password . '"'

  Oczywiście zmienne $login i $password są wcześniej przefiltrowane

• Może uznasz to za czepianie się, ale słowa typu true, false, null należy pisać małymi literami (wymaga tego standard PSR)

Answer 4

Poczytaj o SQL Injection i encjach HTML. Kod poprawny, ale niebezpieczny.