Cześć zrobiłem krótki skrypt logowania się do bazy danych, wygląda następująco:

[PHP] pobierz, plaintext 
<?php
//ustawienie sesji
session_save_path("session/");
session_start();
 
include 'db.php';
//return print_r ($_POST);
if (isset($_POST['log_in'])) {
	$login = $_POST['login'];
	$haslo = $_POST['pass'];
	$hasloMd5 = md5($haslo);
 
	if ($zapytanie = "SELECT * FROM `uzytkownicy` WHERE `haslo` = ? AND `login` = ?") {
		$result = $db_mysqli->prepare($zapytanie);
		$result->bind_param('ss', $hasloMd5, $login);
		$result->execute();
		$result->close();
	} elseif ($db_mysqli->error) {
		echo "Could not prepare SQL: " . $db_mysqli->error;
	}
 
	$result2 = mysqli_num_rows($result);
	$result3 = mysqli_fetch_array($result);
	$result4 = mysqli_fetch_array($result);
 
	//$result4 = mysqli_fetch_all($result);
	print_r($result2);
	echo ($result3);
	//echo ($result4);
 
 
 //echo($result2);
 echo printf ($result2);
 echo "<br />";
 echo printf ($result3);
  echo "<br />";
   echo printf ($result4);
/*
if ($result3['kod'] != "aktywowano") {
return header("Location: index.php?error=7");
}
 
if (empty($login) || empty($hasloMd5)) {
 
return header("Location: index.php?error=5");
 
}
 
if ($hasloMd5 != $result3['haslo']) {
return header("Location: index.php?error=6");
 
}
 
if ($ileUzyt = $result3 > 0) {
echo "jest wiecej niz 1";
 
} else {
return header("Location: index.php?error=4");
 
}
*/
}
?>
[PHP] pobierz, plaintext 

Problem jest prawdopodobnie w sekcji zapytania (linie: 13-20) Ponieważ gdy zrobię zwrócenie wyników to wyrzuca mi wartość 0 (Linia 35). Nie wiem dlaczego zapytanie jest błędne i nie wyrzuca mi nic z bazy danych.

Podam także działający skrypt logowania (ale ten jest bez zabezpieczeń przed SQL Infection):

[PHP] pobierz, plaintext 
<?php
 
if (isset($_POST['log_in'])) {
	$login = $_POST['login'];
	$haslo = $_POST['pass'];
	$hasloMd5 = md5($haslo);
 
	$zapytanie = "SELECT * FROM `uzytkownicy` WHERE `login` = '$login' AND `haslo` = '$hasloMd5'";
	$result = $db_mysqli->query($zapytanie);
	$result2 = mysqli_num_rows($result);
	$result3 = mysqli_fetch_assoc($result);
 
 
	if ($ileUzyt = $result3 > 0) {
		echo "jest wiecej niz 1";
 
	} else {
		header("Location: index.php?error=4");
		exit();
	}
 
}
 
?>
[PHP] pobierz, plaintext 

Oraz formularz logowania:

[HTML] pobierz, plaintext 
<!DOCTYPE html>
<html>
<head>
	<title>Magazyn na PHP</title>
	<meta name="name" content="content" charset="utf-8">
</head>
<body>
 
<?php
 
if (isset($_GET['error'])) {
	echo "<pre>";
	switch ($_GET['error']) {
	case 0:
		echo "Wypelnij wszystkie pola";
		break;
	case 1:
		echo "Hasla nie sa identyczne";
		break;
	case 2:
		echo "Taki ziomek juz istnieje";
		break;
	case 3:
		echo "Takie konto nie zostało założone!";
		break;
	case 4:
		echo "Nie ma takiego uzytkownika w bazie danych";
		break;
	case 5:
		echo "Nie wpsiałeś loginu i/lub hasła";
		break;
	case 6:
		echo "Wpisałeś błędne hasło!";
		break;
	case 7:
		echo "Konto nie zostało jeszcze aktywowane!";
		break;
	default:
		echo "Nieznany blad";
		break;
	}
	echo "</pre>";
}
 
if (isset($_GET['success'])) {
	echo "<h3>";
	switch ($_GET['success']) {
	case 0:
		echo "rejestracja OK";
		break;
	case '1':
		echo "Pomyslnie zamieniono na aktywowano";
		break;
	default:
		echo "Inny błąd";
		break;
	}
	echo "</h3>";
}
 
?>
 
<center>
<fieldset>
	<legend>Logowanie do magazynu</legend>
	<form action="login.php" method="post" accept-charset="utf-8">
		<label><input type="text" name="login" placeholder="wpisz swoj login"></label>
		<label><input type="password" name="pass" placeholder="podaj haslo"></label>
		<input type="submit" name="log_in" value="Zaloguj"></input>
 
	</form>
</fieldset>
<br /><br />
<fieldset>
	<legend>rejestracja do magazynu</legend>
	<form action="login.php" method="post" accept-charset="utf-8">
		<label><input type="email" name="login" placeholder="wpisz swoj E-mail"></label>
		<label><input type="password" name="pass" placeholder="podaj haslo"></label>
		<label><input type="password" name="pass2" placeholder="powtorz haslo"></label>
		<input type="submit" name="register" value="Zarejestruj"></input>
 
	</form>
</fieldset>
</center>
 
</body>
</html>
[HTML] pobierz, plaintext 

po pierwsze włącz błedy po drugie:

[PHP] pobierz, plaintext 
	if ($zapytanie = "SELECT * FROM `uzytkownicy` WHERE `haslo` = ? AND `login` = ?") {
[PHP] pobierz, plaintext 

Tu coś Ci nie wyszło, zrób try catch

A co w tym zapytaniu jest źle

chodzi o ten warunek w if, zamiast if zrób blok try catch

Jest bez sensu bo porównujesz string. Co zwraca if ('string')? Odpytaj bazę a if zrób na wynikach np ile wierszy zostało zwróconych. Nie stosuj md5 do haseł.

Ok dzieki za odp. Zaraz zmienię to zapytanie.
A do hashowania powinienem uzyc którejś z tych metod??:

[PHP] pobierz, plaintext 
<?php
$string = 'Przykładowy tekst do hashowania.';
$hash['sha1'] = hash('sha1', $string);
$hash['sha256'] = hash('sha256', $string);
$hash['md5'] = hash('md5', $string);
$hash['ripemd128'] = hash('ripemd128', $string);
$hash['snefru'] = hash('snefru', $string);
?>
[PHP] pobierz, plaintext 

;

EDIT:

Zrobilem cos takiego ale zwraca mi: "cos nie tak!!!"

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['log_in'])) {
	$login = $_POST['login'];
	$haslo = $_POST['pass'];
	$hasloMd5 = md5($haslo);
 
		$zapytanie = "SELECT * FROM `uzytkownicy` WHERE `login` = ? AND `haslo` = ?";
		$result = $db_mysqli->prepare($zapytanie);
		$result->bind_param('ss', $login, $hasloMd5);
		$result->execute();
		$result->close();
 
		$res3 = mysqli_num_rows($result);
		printf ($res3);
 
		if ($row = $res3 >= 1) {
			echo "Jest wiecej niż jeden";
		} else {
			echo "cos nie tak!!!";
		}
}
?>
[PHP] pobierz, plaintext 

Co takiego zrobiłem źle, że ten skrypt poniżej działa poprawnie a ten wyżej nie

[PHP] pobierz, plaintext 
<?php
 
if (isset($_POST['log_in'])) {
	$login = $_POST['login'];
	$haslo = $_POST['pass'];
	$hasloMd5 = md5($haslo);
 
	$zapytanie = "SELECT * FROM `uzytkownicy` WHERE `login` = '$login' AND `haslo` = '$hasloMd5'";
	$result = $db_mysqli->query($zapytanie);
	$result2 = mysqli_num_rows($result);
	$result3 = mysqli_fetch_assoc($result);
 
 
	if ($ileUzyt = $result3 > 0) {
		echo "jest wiecej niz 1";
 
	} else {
		header("Location: index.php?error=4");
		exit();
	}
 
}
 
?>
[PHP] pobierz, plaintext 

viking On tam nawet nie porównywał do stringa, a do niego przypisywał, wiec warunek zawsze spełniony.
major697
nie mieszaj obiektowego mysqli z strukturalnym, nie działa bo zamykasz połączenie przed czyli $result->close();

Wiem z tym zamknięciem. Przeniosłem je na koniec skryptu ale to nic nie daje bo dalej zwraca mi "cos nie tak!!!"
Posługiwałem sie podobnym skryptem który wygląda tak (Formularz kliknij):

[PHP] pobierz, plaintext 
<?php
    //Sprawdzamy czy użytkownik o podanych danych istnieje
    $stmt = $db->prepare("SELECT * FROM users WHERE login=:login AND password=:password");
    $stmt->bindValue(":login", $login, PDO::PARAM_STR);
    $stmt->bindValue(":password", $password, PDO::PARAM_STR);
    $stmt->execute();
    $row = $stmt->fetch(PDO::FETCH_ASSOC);
    if($stmt->rowCount()!=0){
        echo "Zalogowałeś się!";
        /*
         * Tworzymy sesję dla zalogowanego użytkownika z:
         * - informacją, że użytkownik jest zalogowany
         * - jego id
         */
        session_start();
        $_SESSION['logged'] = true;
        $_SESSION['user_id'] = $row['id'];
 
    }
    else{
        echo '<div style="color:red">Login i/lub hasło są nieprawidłowe</div>';
        form();
    }
 
?>
[PHP] pobierz, plaintext 

Ale nawet gdy zmienie zapytanie na coś takiego:

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['log_in'])) {
	$login = $_POST['login'];
	$haslo = $_POST['pass'];
	$hasloMd5 = md5($haslo);
 
		$result = "SELECT * FROM `uzytkownicy` WHERE `login` = :login AND `haslo` = :hasloMd5";
		$result = $db_mysqli->prepare($result);
		//$result->bind_param('ss', $login, $hasloMd5);
		//$result->execute();
 
		$result->bindValue(":login", $login, PDO::PARAM_STR);
    	$result->bindValue(":hasloMd5", $hasloMd5, PDO::PARAM_STR);
    	$result->execute();
 
 
		$res3 = mysqli_num_rows($result);
 
		if ($row = $res3 !=0) {
			echo "Jest wiecej niż jeden";
		} else {
			echo "cos nie tak!!!";
		}
$result->close();
?>
[PHP] pobierz, plaintext 

To wyrzuca mi błąd: "Fatal error: Call to a member function bindValue() on a non-object in... ADRES"

bo tam jest pdo, a ty masz mysqli, one sa podobne ale to nie to samo

$result->num_rows; tak powinno u ciebie wygladać

Dalej tego nie ogarniam mam teraz taki skrypt:

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['log_in'])) {
	$login = $_POST['login'];
	$haslo = $_POST['pass'];
	$hasloMd5 = md5($haslo);
 
 
		$result = $db_mysqli->prepare("SELECT * FROM `uzytkownicy` WHERE `login` = ? AND `haslo` = ?");
		$result->bind_param('ss', $loggin, $hasloMd5);
		$result->execute();
		$result->num_rows;
 
 
 
		if ($result == 0) {
			echo "Jest wiecej niż jeden";
		} else {
			echo "Nie ma takiego rekordu w bazie";
		}
 		$result->close();
}
?>
[PHP] pobierz, plaintext 

Ale tym razem zwraca mi "Jest wiecej niż jeden" tyle,że zwraca taki wynik nawet gdy wpisze w formularzu dane których napewno nie ma w bazie ... błąd muszę mieć więc w zapytaniu

bez tych ` przy `login` i `haslo`

var_dump($result) i będziesz wiedział wszystko. Poza tym if ($result->num_rows > 0)

OK z var_dump() zwraca mi że nie ma wpisywanego rekordu w bazie danych, tyle, że według mnie zapytanie jest poprawne bo kiedy je wpisze w phpmyadmin w zapytanie SQl i znak ? zamienię na maila podanego przy rejestracji to normalnie wyrzuci poprawny wynik a w skrypcie jest coś źle. Skrypt wygląda tak

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['log_in'])) {
	$login = $_POST['login'];
	$haslo = $_POST['pass'];
	$hasloSha1 = sha1($haslo);
 
	$result = $db_mysqli->prepare("SELECT * FROM uzytkownicy WHERE login = ? AND haslo = ?");
	$result->bind_param('ss', $login, $hasloSha1);
	$result->execute();
	//$result->num_rows;
 
	//var_dump($result);
 
	if ($result->num_rows > 0) {
		echo "Jest wiecej niż jeden";
	} else {
		echo "Nie ma takiego rekordu w bazie";
	}
	$result->close();
}
?>
[PHP] pobierz, plaintext 

Wynik z var_dump:

C:\wamp64\www\projekty\login.php:25:
object(mysqli_stmt)[2]
public 'affected_rows' => int -1
public 'insert_id' => int 0
public 'num_rows' => int 0
public 'param_count' => int 1
public 'field_count' => int 4
public 'errno' => int 0
public 'error' => string '' (length=0)
public 'error_list' =>
array (size=0)
empty
public 'sqlstate' => string '00000' (length=5)
public 'id' => int 1

wykonałem bindowanie (linia 8) według tej instrukcji: LINK Nie wiem dalej gdzie jest błąd bo po wpisaniu loginu (takiego jaki jest w bazie) wyrzuca: Nie ma takiego rekordu w bazie

Według public 'param_count' => int 1 bindowany jest tylko 1. Z kodu który tu wrzucasz wynika że podajesz 2.

Nawet jeśli usunę parametr hasło z zapytania i skrypt bedzie wyglądał tak:

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['log_in'])) {
	$login = $_POST['login'];
	$haslo = $_POST['pass'];
	$hasloSha1 = sha1($haslo);
 
	$quer = "SELECT * FROM uzytkownicy WHERE login = ?";
	$result = $db_mysqli->prepare($quer);
 
	$result->bind_param('ss', $login);
	$result->execute();
 
	$result->num_rows;
	var_dump($result);
	//
 
	if ($result->num_rows > 0) {
		echo "Jest wiecej niż jeden";
	} else {
		echo "Nie ma takiego rekordu w bazie";
	}
 
	$result->close();
}
?>
[PHP] pobierz, plaintext 

i jesli wpiszę tylko parametr login to i tak wyrzuci Nie ma takiego rekordu w bazie.
A wynik z var_dump bedzie wyglądał tak:

C:\wamp64\www\projekty\login.php:17:
object(mysqli_stmt)[2]
public 'affected_rows' => int 0
public 'insert_id' => int 0
public 'num_rows' => int 0
public 'param_count' => int 1
public 'field_count' => int 4
public 'errno' => int 0
public 'error' => string '' (length=0)
public 'error_list' =>
array (size=0)
empty
public 'sqlstate' => string '00000' (length=5)
public 'id' => int 1

A sprawdzałeś co masz w $_POST?

Tak sprawdzalem:
printf($_POST['login']);

i to co wpisze w formularzu w login to jest poprawnie zwracane