Почему не работает запрос на php + PDO?

Question

[Arbitr]

Всем доброго времени суток, пишу скрипт авторизации на PDO, так получилось, что запрос не работает в коде, хотя когда я эту строку с данными ввожу в phpmy admin или в query browser то он срабатывает и возвращает результат, объясните дуболому, где я мог накосячить?
Файл соединения:

<?php 
	$serverName = "localhost";
	$userName = "root";
	$password = "";
	$dataBase = "matrix";
	try {
		$connection = new PDO ("mysql:host=$serverName; dbname=$dataBase", $userName, $password);
	}
	catch (PDOException $e) {
		echo "Соединение не установлено, ошибка: ".$e->getMessage();
	}
?>

Движок:

<?php
	include_once $_SERVER['DOCUMENT_ROOT'].'/includes/connection.php';

	try {
		$login = $_POST['login'];
		$password = $_POST['password'];
		$otdel = $_POST['otdel'];

		$selectUser = "SELECT login, password, otdel FROM `user_s` WHERE login='".$login."' AND password='".$password."';";
		echo $selectUser;

		$result = $connection->exec($selectUser);

		echo "<br>".$result."<br>";
		if ($result === 1) {
			echo "<br>true";
			
		}
		else {
			echo "<br>false";
		}

		
	}

	catch (PDOException $e) {
		echo "system of down";
		exit();
	}
?>

Comments

[zorca]

Документацию не пробовали читать: php.net/manual/ru/pdo.exec.php ?

PDO::exec() запускает SQL запрос на выполнение и возвращает количество строк, задействованых в ходе его выполнения.
PDO::exec() не возвращает результат выборки оператором SELECT. Если вам нужно выбрать данные этим оператором единожды в ходе выполнения программы, пользуйтесь методом PDO::query().

[Arbitr]

zorca, читал, мне не нужен результат выборки, мне нужно количество строк, которые он вернет. Я и query() делал, толку нету.

[zorca]

Arbitr, простой дебаг при помощи var_dump() несомненно поможет в вашей ситуации. Выведите, что получает скрипт из запроса и что получаете из базы, сравните полученное. Так вы плавно переходите к необходимости тестирования кода.

[Arbitr]

я не понимаю, что именно дебажить? я вывел строку запроса, вставил в phpmyadmin, там она выполнилась, в коде нет...

[Arbitr]

zorca, запрос возвращает 0 строк.

[zorca]

Arbitr, проблема раз - вы не видите что сраниваете. Перепишите запрос так, чтобы он возвращал результат и не задавайте в запросе

AND password

, ищите только по логину. Полученный из записи в базе пароль сраниваете с тем что у вас прилетает в скрипт.

[zorca]

Arbitr, проблема два - секьюрность вашего скрипта, но вам похоже уехать хотя-бы, а не до шашечек.

[Arbitr]

zorca, я всегда делаю, чтобы сначала работало, а потом делаю защиту и "секьюрность".

[zorca]

Arbitr, ну пока что вы очень постарались, чтобы не работало. Как будто специально усложнили себе жизнь, отключив возможность посмотреть результат из базы.

[Arbitr]

zorca, запрос не работает даже при обычном селекте, зато удаление он делает.

[zorca]

Arbitr, я уже все написал подробно, просто сделайте так, как написано и все заработает.

[zorca]

Arbitr, можете поковырять мой проект годичной давности с курсов по PHP:
https://github.com/steelcat/loft-php-2016/tree/mas...
Там все работает.

[Arbitr]

zorca, я прекрасно понимаю, что у меня ничего не работает, это и хочу исправить, но

вы очень постарались, чтобы не работало. Как будто специально усложнили себе жизнь, отключив возможность посмотреть результат из базы

ваши слова это бред, я пытаюсь разобраться с этим и вы меня еще и обвиняете в глупизне, где логика? ладно, спасибо за ваши варианты, дальше сам разберусь

[zorca]

Arbitr

Еще конкретнее:

/**
 * @return bool|string
 */
function login()
{
    $error    = false;
    $login    = isset($_POST['login'])    ? $_POST['login'] : false;
    $password = isset($_POST['password']) ? $_POST['password'] : false;
    if ($login && $password) {
        $input_login    = $_POST['login'];
        $input_password = $_POST['password'];
        $db             = db_connect('localhost', 'loft-php-03');
        $query = $db->prepare("SELECT * FROM users WHERE login = '$input_login'");
        $query->execute();
        $user = $query->fetch();
        if ($user['login'] === $input_login && $user['password'] === $input_password) {
            $_SESSION['id'] = $user['id'];
            $_SESSION['login'] = $user['login'];
            header('Location: /');
        } else {
            $error = "Логин или пароль введены неверно";
        }
    }
    return $error;
}

По хорошему, то что приходит от пользователя нужно еще очищать, но задачи такой не стояло в этом задании.

[FanatPHP]

zorca, открою страшную тайну: ничего очищать не надо. тем более, приходящее от пользователя. Вместо этих бабкиных суеверий надо просто правильно выполнять запросы. Всегда. Неважно, было это в вопросе или не было, от пользователя данные пришли или не от пользователя . У тебя запрос неправильный.

Answer 1

[FanatPHP]

Накосячено здесь везде. В каждой строчке. Но самая ерунда написана в комментариях.

> я всегда делаю, чтобы сначала работало, а потом делаю защиту и "секьюрность".

Придется избавляться от этой дурацкой привычки. Во-первых, это дорога в никуда. С такими идеями твой код всегда будет кривым. Во-вторых, это тупо двойная работа - сначала говнокодить, а потом переписывать набело. И в-третьих, нормальный код проще и удобнее говнокода. Поэтому если не умеешь работать с ПДО - надо учиться. СНАЧАЛА учиться, а потом пытаться что-то писать.

Файл соединения:

<?php 
$serverName = "localhost";
$userName = "root";
$password = "";
$dataBase = "matrix";
$pdo = new PDO ("mysql:host=$serverName; dbname=$dataBase", $userName, $password);
$pdo->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

"Движок" берем отсюда, https://phpdelusions.net/pdo_examples/password_hash

$stmt = $pdo->prepare("SELECT login, password, otdel FROM `user_s` WHERE login=?");
$stmt->execute([$_POST['login']]);
$user = $stmt->fetch();

if ($user && password_verify($_POST['password'], $user['password']))
{
    echo "valid!";
} else {
    echo "invalid";
}

Не забыв предварительно хэшировать все пароли перед записью в БД через password_hash.

А ответ на вопрос, почему у тебя не работает сейчас, можешь прочесть в документации по exec(). Там написано.

Comments

[Arbitr]

т.е. если запрос не модифицировал строки, то он вернет false, ясно... Спасибо за советы, учту.