Hej, przekształcałem nieco formularz logowania. Na początku wszystko ładnie działało, jak nie zgadzało się hasło/login to pokazywało, że któraś z danych jest nieprawidłowa i cacy. Postanowiłem przerobić nieco tak, aby pokazywało dokładnie gdzie został popełniony błąd - przy haśle czy przy loginie i teraz dzieje się coś takiego, że loguje mnie nawet wtedy, kiedy nie ma loginu i hasła w bazie danych, czyli niezależnie co wpiszę i tak jestem zalogowany. Gdzie tkwi błąd?

[PHP] pobierz, plaintext 
session_start();
 
mysql_connect('nazwabazy', 'nazwauzytkownika', 'haslo ;)')
    or die('Nie mozna się połączyć z bazą');
 
mysql_select_db('uzytkownicy')
   or die ('Nie mozna wybrac bazy');
 
if (isset($_SESSION['login'])) {
  print "Witam ". $_SESSION['login'] ;
  }   else {
 
 
if (isset($_POST['wyslij'])) {
 
 
$zapytanie1="SELECT nazwa FROM uzytkownicy_pozycje
                          WHERE nazwa = '".$_POST['login']."'";
 
$zapytanie2="SELECT haslo FROM uzytkownicy_pozycje
                          WHERE haslo = '".$_POST['haslo']."' ";
 
 
   if ((!empty($_POST['login'])) AND (!empty ($_POST['haslo'])) ){
 
      if (mysql_query($zapytanie1)){
                                    if (mysql_query($zapytanie2)) {
                                     $_SESSION['login']= $_POST['login'];
 
                                    print "Jestes zalogowany";
                                        } else {
                                         print 'Podano nieprawidlowe haslo.'; }
 
                                          }else {
                                         print "Nie ma takiego uzytkownika"; }
                                         }  else {
   print "Wypelnij pole";
   }
 
} else {
 print '<form action="login2.php" method="POST"><p>
 Uzyt:<input type="text" name="login"><br />
 Haslo:<input type="text" name="haslo"><br />
 <input type="submit" name="wyslij" value="Zaloguj!" /></p></form>';
 }
 
 }
[PHP] pobierz, plaintext 

Np. tutaj

[PHP] pobierz, plaintext 
 if (mysql_query($zapytanie2))
[PHP] pobierz, plaintext 

Zapytanie nie musi nic zwracać, aby przyjmować wartość true.
Musisz sprawdzić, czy zwraca jakieś rekordy.

Poza tym w zapytaniu numer 2 masz błąd ponieważ sprawdzasz czy hasło istnieje w bazie, ale nie sprawdzasz czy to hasło jest danego użytkownika.

I jeszcze jedna taka moja sugestia. Lepiej sprawdzać czy dane zostały wypełnione poprawnie, nie rozdzielać ich na: login poprawny, hasło złe, ponieważ logując się na cudze konto w przypadku poprawnego loginu pozostaje mi złamać tylko jego hasło, a w innym przypadku nie mam danych o tym czy taki login istnieje czy nie.

Ad 1. Dzięki. Dodałem przed mysql_query - mysql_num_rows()>0 i działa. Tylko szczerze mówiąc nie wiem dlaczego. mysql_num_rows sprawdza tylko, czy moje zapytanie jest większe od 0, tak?

Ad 2. Jakaś podpowiedź jak zespawać ze sobą, żeby komunikat pokazywał, że dane hasło jest złe ale dla danego użytkownika?

Ad 3. Dzięki, narazie się tylko bawie i staram się po prostu realizować to, co wpadnie mi do glowy

Ad.1 Sprawdza ile rekordów zwraca Twoje zapytanie.

Ad.2

[SQL] pobierz, plaintext 
SELECT haslo FROM uzytkownicy_pozycje
WHERE haslo = '".$_POST['haslo']."' AND login ='".$_POST['login']."'
[SQL] pobierz, plaintext 

O rany, ale banał dzięki bardzo!