Почему возвращается 0 строк из sql запроса?

Question

[Aylix]

Логин и пароль ввожу совпадающий с бд

<form method="POST" action="login.php">
<input type="text" name="login" size="15">

$conn = mysqli_connect("localhost","my_user","sMtWzj6WLNFkrQCa","users");
	if ($conn == false){
    print("Ошибка: Невозможно подключиться к MySQL ".mysqli_connect_error());
	}
	mysqli_set_charset($conn, "utf8");
}
	$qu = "SELECT * FROM data WHERE 'login'='". $_POST["login"] ."' AND 'pass'='". $_POST["pass"]."'";
	$zapros =mysqli_query($conn,$qu);
	
	if($result = mysqli_query($conn,$qu)){
		$rowcount=mysqli_num_rows($result);
  	printf("Result set has %d rows.\n",$rowcount);

Получаю 0 строк на выходе, возможно ошибка в SQL-запросе?

Comments

[Дмитрий]

Потому что поля надо брать в другие кавычки ` либо без кавычек совсем, но тут могут быть проблемы с именами полей которые зарезервированы

[granty]

Aylix, сделайте SELECT * FROM data и посмотрите что у вас в БД. Возможно - таблица data пуста, возможно в поле pass хранится хэш пароля, а вы сверяете с нехэшированным.

Имена полей 'login'= и 'pass'= должны быть в ` (или вообще без кавычек), а не в одинарных кавычках. Скорее всего причина в этом, вставьте
echo mysqli_error($conn);
после
$zapros =mysqli_query($conn,$qu);
должна быть показана ошибка запроса.

PS: sql-инъекция из ответа VicTHOR - вполне реальна, в $_POST можно прислать что угодно.

[Aylix]

Дмитрий когда не применяю одинарные кавычки к полям sql, получаю Unknown column 'login' in 'where clause'

Answer 1

[Армянское Радио]

Данный код содержит уязвимость типа SQL - Injection, которую легко использовать. Прочитайте про PDO и Prepared Statements и больше так не позорьтесь.