Как найти пользователей с таким же login/email?

Question

[4sadly]

Мне нужно так, чтобы находились пользователь с таким же login, и если такой есть, происходит ошибка
вот код:

if(mysqli_query($conn, 'SELECT * FROM userst WHERE email='.$_POST['email'])==null){
			$error = 'Пользователь с таким никнеймом уже существует';
		}

но он почему-то не работает, хотя по идеи все должно быть хорошо, если выполняю в phpmyadmin sql запрос
SELECT * FROM userst WHERE email="email"
все работает

Answer 1

[Ainur Shakirov]

1) Проверку надо делать через mysqli_num_rows

if(mysqli_num_rows(mysqli_query($conn, 'SELECT * FROM userst WHERE email='.$_POST['email']))==0)

2) email нужно обернуть в кавычки:

if(mysqli_num_rows(mysqli_query($conn, 'SELECT * FROM userst WHERE email="'.$_POST['email'].'"'))==0)

3) POST надо фильтровать, иначе взломают, читай о XSS/SQl инъекция

Comments

[4sadly]

спасибо, а как фильтровать?

[Ainur Shakirov]

4sadly, читай о XSS/SQl инъекциях. Загугли

защита от XSS

[FanatPHP]

Садись, два.
Не "POST надо фильтровать", а использовать плейсхолдеры для SQL / HTML кодирование при выводе

[Антон Иванов]

4sadly, используйте вместо mysqli_query PDO, почитайте про подготовленные запросы https://www.php.net/manual/ru/pdo.prepare.php

[Ainur Shakirov]

FanatPHP, ну скажи мне несколько лет назад "плейсхолдеры" яб долго вдуплял что это. Для начала пусть поймет что такое XSS и дальше уже на PDO перейдет, поняв что это удобнее и безопаснее.

Если сразу на PDO перескочит то и не поймет зачем ему этот PDO. Спасибо, не нужно плодить тех кто юзает технологии не зная зачем они ему и как работают.

[FanatPHP]

Ainur Shakirov, не нужно длинными рассуждениями прикрывать свою неграмотность и вредительский ответ.
Открой в первую очередь для себя как работать с БД в пхп правильно.

Ты можешь написать целую статью оправданий, но твой код выдает тебя с головой. Каждый отвечает тем кодом, который сам и пишет в своих скриптах.
По твоему коду видно, что ты до сих пор не понимаешь, ни что такое плейсхолдеры,на что такое XSS, ни что такое PDO, и зачем его сюда вообще сюда приплели

Answer 2

[FanatPHP]

А теперь правильный ответ

$stmt = $conn->prepare('SELECT * FROM userst WHERE email=?');
$stmt->bind_param("s", $_POST['email']);
$stmt->execute();
if ($stmt->fetch()) {
      $error = 'Пользователь с таким никнеймом уже существует';
}

Comments

[Ainur Shakirov]

ну вот я о чем. Человек скопирует, вставит и не поймет зачем там prepare и bind_param

Answer 3

[Gilfy]

Я php не знаю, но не должно быть так?

'SELECT * FROM userst WHERE email="'.$_POST['email'].'"'

Comments

[4sadly]

так вообще 500 отдает

[FanatPHP]

нет, не так