Как проверить данные для авторизации через MySQL?

Question

[Sanzhar Bazarbek]

Я хочу сделать проверку по логину и паролю для авторизации через MySQL
В гугле, почти все делают через условие с функцией определяющие количество
таких же логинов и паролей, но как я понял php поменял что-то в функции.
Найти через документацию не удалось. Вопрос заключается в том что, как и через
что теперь нужно проверять данные через MySQL? В моем случае это логин и пароль.

Ошибка:

Fatal error: Uncaught TypeError: mysqli_num_rows(): Argument #1 ($result) must be of type mysqli_result, bool given in

Функция и код:
if (mysqli_num_rows($checkUser) > 0)

Comments

[Immortal_pony]

Побольше кода выложите. Система вам английским по белому пишет "ожидали, что вы передадите функции mysqli_num_rows переменную типа mysqli_result, а вы ей булевый шлак подсунули, негодник". Откуда у вас эта переменная взялась? Почему в ней значение не того типа?

[Sanzhar Bazarbek]

Immortal_pony,

$email = $_POST['email'];
$password = md5($_POST['password']);

$checkUser = mysqli_query($connect, "SELECT * FROM `users` WHERE `email` == '$email' AND `password` == '$password'");

if (mysqli_num_rows($checkUser) > 0) {

} else {
    $_SESSION['messageL'] = "Не верный логин или пароль";
    // header("Location: /login/index.php");
}

[Сергей delphinpro]

Sanzhar Bazarbek, Теперь прочитайте документацию https://www.php.net/manual/ru/mysqli.query.php
и узнайте, в каких случаях функция возвращает false. Спойлер: ошибка при выполнении запроса.
Потом определите, почему у ваш запрос выполняется с ошибкой.
Также, задайтесь вопросом, почему вы эту ошибку не видите.

Answer 1

[Immortal_pony]

mysqli_query возвращает false если во время выполнения запроса произошла ошибка. Поэтому, если вы уж пишете в таком стиле, то извольте проверять, что во время выполнения запроса ошибки не произошло. Примерно так:

$checkUser = mysqli_query($connect, "SELECT * FROM `users` WHERE `email` == '$email' AND `password` == '$password'");
if ($checkUser  === false) {
    die(mysqli_error($connect));
}

После того как вы добавите в код проверку, вы увидите что система ругается на некорректный синтаксис SQL-запроса. Конкретно в вашем случае это использование "==" для сравнения. В MySQL используется одинарное "=" для сравнения.
После того как вы исправите эту ошибку, код ваш заработает, но он будет очень небезопасным.
Для того чтобы подставлять значения из php-перемнных в SQL-запрос, используйте подготовленные выражения.

Более подробно расписано почему не стоит использовать mysqli_num_rows и как пользоваться подготовленными выражениями (информация была скопирована отсюда):

Это очень хороший вопрос.
Ответ на него - никак не использовать.

Да, в mysqli действительно есть специальная функция, которая может сказать, какое количество строк вернул запрос SELECT.
Традиционно употребляется в двух случаях:

а) когда это не нужно
б) когда приводит к катастрофическим последствиям

Первый вариант - это когда мы хотим узнать, вернул ли запрос хоть какие-то данные, или нет. Но на этот случай у нас есть сами данные. Зачем отдельно запрашивать их количество, если мы все равно будем эти данные получать в переменную, которую потом и можно будет использовать чтобы узнать, вернул ли запрос что-нибудь или нет.

Второй вариант - если эта функция используется чтобы посчитать, сколько строк лежит в БД. В таком варианте это будет откровенное вредительство, поскольку данных может быть очень много, и все эти данные БД должна сначала получить у себя, а потом отправить в РНР. Заняв всю доступную память или даже вызвав фатальную ошибку нехватки памяти.

Правильным решением этой задачи будет сделать запрос вида SELECT COUNT(*) FROM .... В этом случае БД сама внутри себя посчитает количество строк (очень быстро) и вернёт только одно число, которое не занимает оперативную память вообще.

Вот и получается, что функция mysqli_num_rows() является либо вредной, либо бесполезной

В данном случае надо сначала получить записи из БД

// БЕЗОПАСНО выполняем запрос
$stmt = $link->prepare("SELECT * FROM comments WHERE art_id = ?");
$stmt->bind_param("s", $note_id);
$stmt->execute();
// получаем данные
$result = $stmt->get_result();
$comments = $result->fetch_all(MYSQLI_ASSOC);

А после этого уже их выводить

<?php if ($comments): ?>
    <?php foreach ($comments as $row): ?>
         <?=$row['comment']?><br>
    <?php endforeach ?>
<?php else: ?>
    Эту запись еще никто не комментировал
<?php endif ?>

Как видно, никакой mysqli_num_rows нам не понадобилось

Comments

[FanatPHP]

Люди не ходят по ссылкам, а только копируют код, код, который вы написали (непонятно зачем). К тому же со временем он может совсем пропасть, как пропадают любые ссылки в интернете.

Можно вас попросить скопировать в свой ответ код из ответа по ссылке?
Это же ведь совсем нетрудно, даже писать самому ничего не надо.

Автор ведь не пишет в в каком-то "своем стиле", никакого стиля у него нет. Он просто тупо копирует, что увидел. Поэтому как-то прогибаться специально под его "стиль" нет ни малейшего смысла.

Не говоря уже о том, что даже в его стиле надо писать trigger_error(mysqli_error($connect));

[Sanzhar Bazarbek]

FanatPHP, от части вы правы, от части нет. Я только учусь и практикуюсь ;)

[FanatPHP]

Sanzhar Bazarbek, от какой именно части я неправ?

[Sanzhar Bazarbek]

FanatPHP, я не просто копирую, что увидел — я хожу по ссылкам, просматриваю и изучаю информацию. Конечно, бывает не сразу, но стараюсь делать это повторно чтобы усвоить новую информацию.

[FanatPHP]

Люди не ходят по ссылкам, а только копируют код,

Где здесь лично про вас написано?

Ходите - хорошо.
Но здесь не ваш личный приватный чат, а публичный сервис. И ответом воспользуетесь не только вы лично, но и другие люди. О них и идет речь

[Immortal_pony]

FanatPHP ответ расширил твоим комментарием.

Не говоря уже о том, что даже в его стиле надо писать trigger_error(mysqli_error($connect));

В данном случае применима аксиома Эскобара. Но, да, этот вариант получше.

[Sanzhar Bazarbek]

Immortal_pony, спасибо! буду разбираться)