phpとmysqlを使ってログイン機能を作りたいです。

前提・実現したいこと

PHPとmysqlを使ってログイン機能を作ろうとしています

発生している問題・エラーメッセージ

メールアドレスとパスワードが一致するとcountが１になりログインするようにしたいのですがデータベースに入っているメールアドレスとパスワードを入力してもcountが0になってしまいます

該当のソースコード

<?php $mysql = new PDO("mysql:host=localhost;dbname=test","root",""); $sql="select count(*) from account where mailaddress = \":mailaddress\" and password = \":password\""; $mailaddress=""; if (isset($_POST["mailaddress"])) { $mailaddress=$_POST["mailaddress"]; } $password=""; if(isset($_POST["password"])){ $password=$_POST["password"]; } $stmt=$mysql->prepare($sql); $stmt->bindParam(":mailaddress", $mailaddress, PDO::PARAM_STR); $stmt->bindParam(":password", $password, PDO::PARAM_STR); $stmt->execute(); while($result=$stmt->fetch(PDO::FETCH_ASSOC)){ $is_login=$result["count(*)"]; } echo $is_login; if($is_login){ session_start(); $_SESSION["is_login"] = True; } else { echo "メールアドレス又はパスワードが間違っています"; } ?>

H40831

2020/02/18 04:10

DBにはパスワードをそのまま登録しているのでしょうか？（ハッシュ化などしていませんか？）

行動規範の内容に同意します

回答1件

ベストアンサー

１）

php
1$sql="select count(*) from account where mailaddress = \":mailaddress\" and password = \":password\"";

↓

php
1$sql="select count(*) AS CNT from account where mailaddress = :mailaddress and password = :password";

文字列の引用符は、bindValueのタイミングで適切に処理されるので、自分で引用符を補う必要はありません。
それと、count(*)の値をそのまま取得するのに一工夫してASを補ってます。後述。

２）

php
1$stmt->bindParam(":mailaddress", $mailaddress, PDO::PARAM_STR);
2$stmt->bindParam(":password", $password, PDO::PARAM_STR);

↓

php
1$stmt->bindValue(":mailaddress", $mailaddress, PDO::PARAM_STR);
2$stmt->bindValue(":password", $password, PDO::PARAM_STR);

バインドするときによく迷いがちですが、
与えるだけのパラメータの場合は、bindValue()です。

３）

php
1$is_login=$result["count(*)"];

↓

php
1$is_login=$result["CNT"];

ASで名前をつけておけば、この場面で名前で読み出せます。

パスワードに関して、入力された生のパスワード文字列を保持すると漏洩した場合のリスクが有るため、
~~なるべくは~~特別な事情でもない限りパスワードハッシュ関数を駆使する~~と良い~~べきです。
PHP: password_hash - Manual
PHP: password_verify - Manual
参考記事：
password_hash()とpassword_verify()を用いた暗号化と認証の方法について - Qiita

投稿2020/02/18 04:17

編集2020/02/18 05:11