Что не так в коде?

Question

[killsxs]

Перестала работать проверка на авторизованного пользователя при регистрации.
В общем, раньше, когда регистрировался под одним и тем же юзернеймом выходила ошибка. А сейчас спокойно можно создавать пользователя с одним и тем же юзернеймом. Хотя, код изменен не был. Вот код:

<?php
session_start();
require('connect.php');

if (isset($_POST['username']) and isset ($_POST['password'])){
	$username = $_POST['username'];
	$email = $_POST['email'];
	$password = $_POST['password'];
	$role = $_POST['role'];

	$query = 'INSERT INTO users SET username="'.$username.'", email="'.$email.'", password="'.$password.'", role="user"';

	$result = mysqli_query($connection, $query);

	if ($result){
		header('Location: index.html');
		$smsg = "Регистрация прошла успешно";
	} else { 
		$fsmsg = "Ошибка";
	}
}
?>
<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
    <meta name="viewport"
          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
	<link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.4.1/css/bootstrap.min.css" integrity="sha384-Vkoo8x4CGsO3+Hhxv8T/Q5PaXtkKtu6ug5TOeNV6gBiFeWPGFN9MuhOf23Q9Ifjh" crossorigin="anonymous">
    <link rel="stylesheet" href="style.css">
    <title>Регистрация</title>
</head>
<body>
	<div class="container">
		<form class="form-signin" method="POST">
			<h2>Регистрация</h2>
			<?php if(isset($smsg)){ ?><div class="alert alert-success" role="alert"><?php echo $smsg; ?></div><?php }?>
			<?php if(isset($fsmsg)){ ?><div class="alert alert-danger" role="alert"><?php echo $fsmsg = "Ошибка: " . mysqli_error ( $connection ); ?></div><?php }?>

			<input type="text" name="username" class="form-control" placeholder="Username" required>
			<input type="email" name="email" class="form-control" placeholder="Email" required>
			<input type="password" name="password" class="form-control" placeholder="Password" required>
			<button class="btn btn-lg btn-primary btn-block" type="submit">Зарегистрироваться</button>
			<a href="login.php" class="btn btn-lg btn-primary btn-block">Авторизоваться</a>
		</form>
	</div>
</body>
</html>

Вод таблица БД, если это поможет решить вопрос:

Answer 1

[Дмитрий Кузнецов]

У вас нет банальной проверки на существования пользователя (юзернейма) в БД. При регистрации нового пользователя соответственно не проходит проверка, есть ли такие данные в БД.
Так же, возможно, в самой таблице, в ячейках username, email нет уникального ключа. Соответственно регистрация происходит без ошибок.

Comments

[killsxs]

Спасибо)

[Дмитрий Кузнецов]

killsxs, не за что)

Answer 2

[FanatPHP]

Раньше был уникальный индекс в таблице на юзернейм, а сейчас нету.

Comments

[killsxs]

Спасибо)

Answer 3

[ниндзя оп оп]

Допишите строчку в начале перед тем как создавать юзера.

if ( mysqli_query($connection, "SELECT * FROM `users` WHERE `username` = '$username'")->num_rows < 1 ){
//нет такого юзера все ок создаем нового
}else{
//такой юзер есть выдаем ошибку
}

Comments

[FanatPHP]

поменяй подпись на "Качественный говнокод от производителя"
К программированию это никакого отношения не имеет

[ниндзя оп оп]

FanatPHP, сделано сер

Answer 4

[Stimulate]

if (isset($_POST['username']) and isset ($_POST['password'])){
	$username = $_POST['username'];
	$email = $_POST['email'];
	$password = $_POST['password'];
	$role = $_POST['role'];

	$query = "SELECT 
		`u`.`id`
	FROM `users` AS `u`
	WHERE
		`u`.`username`='" . mysqli_real_escape_string($connection, $_POST['username']) . "'
		OR
		`u`.`email`='" . mysqli_real_escape_string($connection, $_POST['email']) . "'
	";
	
	$result = mysqli_query($connection, $query);
	
	if (mysqli_num_rows($result) == 0) {
		$query = "INSERT INTO `users`
		(
			`username`,
			`email`,
			`password`,
			`role`
		)
		VALUES (
			'" . mysqli_real_escape_string($connection, $_POST['username']) . "',
			'" . mysqli_real_escape_string($connection, $_POST['email']) . "'
			'" . mysqli_real_escape_string($connection, $_POST['password']) . "'
			'user'
		)";

		$result = mysqli_query($connection, $query);

		if ($result) {
			header('Location: index.html');
			$smsg = "Регистрация прошла успешно";
		} 
		else { 
			$fsmsg = "Ошибка";
		}
	}
	else {
		$fsmsg = "Повтор";
	}
}

Comments

[FanatPHP]

Поставлю плюсик, за то что код хотя и по большей части бессмысленный, но хотя бы не настолько вопиюще опасный, как в других ответах

[Stimulate]

FanatPHP, предложите свою версию, пожалуйста

[FanatPHP]

if (isset($_POST['username'], $_POST['password'])){
    $stmt = $conn->prepare("SELECT username, email FROM users WHERE username=? OR email=?");
    $stmt->bind_param("ss", $_POST['username'], $_POST['email']);
    $stmt->execute();
    $row = $stmt->get_result()->fetch_assoc();
    if (!$row) {
        $sql = "INSERT INTO users (username,email,password,role) VALUES (?,?,?,'user')";
        $stmt = $conn->prepare($sql);
        $stmt->bind_param("sss", $_POST['username'], $_POST['email'], $password);
        $password = password_hash($_POST['password'], PASSWORD_DEFAULT);
        $stmt->execute();
        header('Location: index.html');
        exit;
    } elseif ($row['email'] == $_POST['email']) {
        $fsmsg = "Email taken";
    } elseif ($row['username'] == $_POST['username']) {
        $fsmsg = "Username taken";
    }
}

Шума в два раза меньше, пользы в пять раз больше.

[Stimulate]

FanatPHP, ок, спасибо, хоть и не увидел кардинальных отличий в работе

[FanatPHP]

Способность понимать код приходит с опытом.

1. Кода в два раза меньше, за счет бессмысленных телодвижений и искусственно раздутого синтаксиса.
2. Не форсится мем "escape_string защищает от инъекций"
3. Пароль надо хешировать.
4. Если уж хотим быть святее папы римского и проверять не только логин но и емейл, то и сообщения об ошибках недо разделять
5. После локейшена нужен екзит
6. Есть общее понимание, что делает та или иная строчка и как результат отсутствует код, который никогда не будет выполнен.

[Stimulate]

FanatPHP, благодарствую