Где ошибка в скрипте авторизации?

Question

[Максим Спиридонов]

Написал легкую сис-му авторизации на ОПП, которая в свою очередь работает на сессиях.

Собственно сама функция.

function login() {
		if (!empty($_POST)) {
		  
          $login = mysql_real_escape_string(htmlspecialchars($_POST['login'])); //немного профильтруем логин
          $password = md5($_POST['password']); //хешируем пароль т.к. в базе именно хеш
		  $user = $this->db->query("SELECT * FROM rust_users WHERE login = ? AND password = ?",$login,$password)->assoc();
          
			if (mysql_num_rows($user) == 1) {
			 $row = mysql_fetch_assoc($user);
				    $_SESSION['id'] == $row['id'];
                    $_SESSION['login'] == $row['login'];
                    setcookie("CookieMy", $row['id'], time()+60*60*24*10);
				
				//header("Location: /");
			} else
				$this->error = 'Неправильный емейл или пароль';
		}		
		$this->out('login.php');
	}

Ошибка: Warning: mysql_num_rows() expects parameter 1 to be resource, null given in Y:\home\oop.ru\www\app\ctrlIndex.php on line 21. Я понимаю, что в mysql_num_rows() ничего не приходит, но не могу разобраться из-за чего.

Answer 1

[AlexP11223]

А зачем вы пытаете смешивать PDO и mysql_ функции?

И по какому принципу вы выставляете отступ у строк? Зачем они так странно и непредсказуемо прыгают?

Comments

[Максим Спиридонов]

Е-мае, pdo начал пользоваться недавно, поэтому забываю дописывать mysqli. Ваше замечание понял и исправил все на mysqli, но ошибка не исчезла, вернее видоизменилась. У меня строки выглядят читабельно, не знаю почему здесь отображаются так ужасно. (Использую phpDesigner8).

Warning: mysqli_real_escape_string() expects exactly 2 parameters, 1 given in Y:\home\oop.ru\www\app\ctrlIndex.php on line 17

Warning: mysqli_num_rows() expects parameter 1 to be mysqli_result, null given in Y:\home\oop.ru\www\app\ctrlIndex.php on line 21

[AlexP11223]

А с чего вы взяли, что PDO надо смешивать с mysqli_?

[AlexP11223]

А насчет отступа, у вас пробелы с табами смешаны.

[Максим Спиридонов]

@AlexP11223 говорю же, pdo пользуюсь недавно и забываю дописывать к mysql - mysqli. Что скажите по ошибкам?

function login() {
if (!empty($_POST)) {

$login = mysqli_real_escape_string(htmlspecialchars($_POST['login'])); //немного профильтруем логин
$password = md5($_POST['password']); //хешируем пароль т.к. в базе именно хеш
$user = $this->db->query("SELECT * FROM rust_users WHERE login = ? AND password = ?",$login,$password)->assoc();

if (mysqli_num_rows($user) == 1) {
$row = mysqli_fetch_assoc($user);
$_SESSION['id'] = $row['id'];
$_SESSION['login'] = $row['login'];
setcookie("CookieMy", $row['id'], time()+60*60*24*10);
//header("Location: /");
} else
$this->error = 'Неправильный емейл или пароль';
}
$this->out('login.php');
}

[AlexP11223]

Да нельзя PDO ни с mysql_, ни с mysqli_ смешивать. php.net/manual/en/pdo.query.php

[Максим Спиридонов]

@AlexP11223 Можно на примере моего скрипта показать как это будет выглядеть на pdo?

Answer 2

[cha-cha]

Какое ООП, вы о чем? Повсюду mysql_* функции.
md5 выкиньте. password_hash
htmlspecialchars к чему? mysql_real_escape_string тоже в мусорку. PDO сам эскейпит когда подставляет переменную на место ?

Edit:
mysql/mysqli ничего общего с PDO не имеют.

Comments

[Максим Спиридонов]

Дошло, сейчас буду пробовать.

[Максим Спиридонов]

Можно на примере моего скрипта показать как это будет выглядеть на pdo?

Answer 3

[Андрей Ежгуров]

1. При использовании подготовленных выражений (т.е. '?' на месте значения параметра в запросе) никаких mysql_real_escape_string и прочих функций экранирования НЕ НУЖНО!
Должно остаться только: $login = htmlspecialchars(trim($_POST['login']));
2. Для хэширования пароля есть специальная функция crypt. А в новых версиях PHP целый набор функций ru2.php.net/manual/ru/ref.password.php. При хэшировании к паролю необходимо добавлять соль.

3. Если используется utf-8 (или другой вариант юникода), то логин нужно дополнительно нормализовать - чтобы не было разных логинов, которые внешне выглядят совершенно одинаково:

$login = htmlspecialchars(trim(Normalizer::normalize($_POST['login'], Normalizer::FORM_KC)));

Answer 4

[Денис]

cкорее всего в $user уже готовый массив. А для mysql_num_rows нужно открытое соединение с базой и запрос. В движке скорее всего соединение уже закрывается.
Попробуйте заменить
if (mysql_num_rows($user) == 1) {

на
if (count($user) == 1) {

И далее соответственно работать уже с массивом $user
Вместо:
$row = mysql_fetch_assoc($user);
$_SESSION['id'] == $row['id'];

делать как то так
$_SESSION['id'] = $user['id']; (один знак равенства для присвоения)