Question

如何構建此查詢驗證，以便它獨立驗證電子郵件和密碼。因此，如果用戶輸入了正確的電子郵件，那麼位置（請參閱代碼）將與用戶輸入正確的密碼但輸入錯誤的電子郵件有所不同？這裏的查詢，如果SET語句是在出現錯誤變量：

$mysql = mysql_query("SELECT * FROM employees WHERE email = '{$email}' AND hashed_password = '{$hashed_password} '"); 

if (mysql_num_rows($mysql) < 1) 
{ 
    header ("Location: index.php?error=1"); 
    die();  
} 

Answer 1

SELECT hashed_password = '{$hashed_password}' AS is_password_correct 
FROM employees WHERE email = '{$email}' 

如果沒有與$ email匹配的條目，此查詢將返回零行。

如果有一行匹配$ email，查詢將返回1或0，這取決於select-list中的布爾相等比較是true還是false。

然後，您可以根據三種可能的狀態在應用中執行不同的操作。

您應該停止在PHP中使用棄用的「mysql」函數，它們將在下一版本的PHP中消失。使用mysqli或PDO。

此外，您應該學習使用準備好的查詢並將$ hashed_pa​​ssword和$ email作爲查詢參數。然後，您可以避免SQL注入漏洞，而不必擔心轉義字符串。

這裏有一個完整的示例（未經測試）與PDO：

$stmt = $pdo->prepare("SELECT hashed_password = :password AS is_password_correct 
    FROM employees WHERE email = :email"); 
if ($stmt === false) { 
    // always check for errors 
} 
$result = $stmt->execute(array(":password"=>$hashed_password, ":email"=>$email)); 
if ($result === false) { 
    // always check for errors 
} 
if ($stmt->rowCount() == 0) { 
    // no such user 
} else { 
    while ($row = $stmt->fetch()) { 
     if ($row["is_password_correct"] == 1) { 
      // password is correct for the given user 
     } else { 
      // password is wrong 
     } 
    } 
} 

Answer 2

這樣做的一個簡單的方法是使用一個OR條款，而不是AND做在PHP端的比較：

$mysql = mysql_query("SELECT email, hashed_password FROM employees WHERE email = '{$email}' OR hashed_password = '{$hashed_password} '"); 

if (mysql_num_rows($mysql) < 1) 
{ 
    // e-mail and password not found 
    header ("Location: index.php?error=1"); 
    die();  
} 
else 
{ 
    $rows = mysql_fetch_assoc($mysql); 

    if ($rows["email"] != $email) 
    { 
     // e-mail not found 
    } 
    else if ($rows["hashed_password"] != $hashed_password) 
    { 
     // passwords do not match 
    } 

}