БЛин не могу понять где ошибка в одной строчке!!!! PHP

[bobot]

Код: Выделить всё

$sql = "select username from newmailbox where username='".$_POST['name']."'";
$result = mysql_query($sql, $connect);
if ($result)                  --------мне кажется тут ошибка !! но вроде правиьно  я и так делал $result !== false   и всёравнот не пашет
{
echo "xorosho";
}
else
{
echo "ploxo";
}

И резулытат один !! всё пишет хxorosho!!! этож не есть хорошо!!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zg]

этож не есть хорошо!!

а чего тебе от него надо?

[bobot]

Это скрипт для проверки существования Юзеров!!! Тоесть я ввожу в поле имя Юзера и этот скрипт должен проверить если такой юзер в базе данных или нету!!!!!!

[zg]

ааа, а я думал, что он проверяет правильность выполнения запроса

Код: Выделить всё

$sql = "select username from newmailbox where username='".$_POST['name']."'";
$result = mysql_query($sql, $connect);
if ( mysql_affected_rows() )
{
  echo "xorosho";
}
else
{
  echo "ploxo";
}

[hizel]

это что же строка из формочки сразу в мускул запрос !?

[zg]

это что же строка из формочки сразу в мускул запрос !?

маджик квотас спасёт мир! правда с шестой версии пхп её упразднят Но пока, она спасет мир!!!

[BlackCat]

mysql_affected_rows() не работает с SELECT -- только с запросами, модифицирующими таблицу. Чтобы получить количество рядов, возвращённых SELECT-запросом, используйте функцию mysql_num_rows().

Может попробовать так:

Код: Выделить всё

if ( mysql_num_rows($result)!=0 )

[smolensk]

Вот так работает 100%

Код: Выделить всё

<?php
$sql = "SELECT username FROM newmailbox WHERE username='$name'";
$result = mysql_query($sql, $connect);
$nums = mysql_num_rows($result);
if ($nums > 0) {
echo "Пользователь существует.";
} else {
echo "Пользователь не существует.";
}
?>

[smolensk]

Код: Выделить всё

$name=$_POST['name'];
$sql = "SELECT username FROM newmailbox WHERE username='$name'";
$result = mysql_query($sql, $connect);
$nums = mysql_num_rows($result);
if ($nums > 0) {
echo "Пользователь существует.";
} else {
echo "Пользователь не существует.";
}

забыл строку одну )

[miozis]

и еще совет - НИКОГДА не подставляй данные из запроса сразу в sql
хотя бы так делай:

Код: Выделить всё

$name = mysql_real_escape_string($_POST['name']);

а то найдется умник, которого зовут

Код: Выделить всё

Вася'; truncate newmailbox;

[zg]

Вася'; truncate newmailbox;

-))) это не пройдёт по двум причинам:
1. мускуль не поддерживает выполнение более одной команды на запрос через mysql_query
2. на данный момент от магических кавычек не отказались и по умолчанию они включены на всех нормальных хостингах.

Максимум, что можно в мускуле сделать через инъекцию на выборку - добавить объединение, и выбрать левые данные.

[havarz]

Максимум, что можно в мускуле сделать через инъекцию на выборку - добавить объединение, и выбрать левые данные.

Ну да, например пароли к админке или форуму или и т.д и т.п.

[jeehadina]

эти х....ы магические кавычки еще на.. из кода php не убрали лишь потому, что как zg сказал "нормальные" хостинги их включили. мочить таких
они немало программистких нервов перепортили.
а ескепить строки перед вставкой в запрос ВСЕГДА надо.
береженого Бог бережет.

[zg]

они немало программистких нервов перепортили.

+1 -))) и ещё сколько попортят http://anton-pribora.ru/articles/php-co ... quotes-gpc

Может быть, это, а может быть, ещё что-то побудило разработчиков сделать магические кавычки. Но надо было их делать либо для всех обязательными, либо не делать вовсе. Путаница, которую они вносят, даёт несомненно больший вред для безопасности и портируемости, чем реальной пользы. Но пока они есть, нужно делать следующее:
Проверять настройку magic_quotes_gpc.
Если магические кавычки включены, то принудительно убирать экранирование.
При работе с данными всегда использовать специальные функции для экранирования, такие как htmlentities(), mysql_real_escape_string(), addcslashes() и так далее. Как правило, для каждого типа данных есть своя функция, поскольку спецсимволы у всех разные.