PHP でMysqlの呼び出し

    if(isset($_POST['login'])){
         $loginname=$_POST['login'];
         $loginpass=$_POST['pass'];
 
         $q="SELECT * FROM users WHERE name=mysql_escape_string($loginname) AND password=mysql_escape_string($loginpass)";
         $rr=mysql_query($con,$q);

         echo htmlspecialchars($rr['name'],ENT_QUOTES,'UTF-8');
         mysql_close($con);
    }

上の処理をして、受け取った値をコンソールログに出力しているのですが、空白が出力されるだけでして、うまくいきません。
データベースの値なども確認し、ちゃんと同じものが有る事を確認しているのですが、、

Queryの書き方が違うのかと思い

 $q="SELECT * FROM users WHERE name="+ mysql_escape_string($loginname)+"AND password= "+mysql_escape_string($loginpass);

としても、出力される値は空白文字です。

行動規範の内容に同意します

回答2件

まぁ最低限

文字列の連結は「.」にする
文字列のSQL文への記載はクォーテーションでくくる
クエリーを実行するときはクエリー文が先（コネクションが先なのはmsqli関数？）
結果を取り出すにはfetch処理が必要

$q= "SELECT * FROM users WHERE 1 ";
$q.="AND name='".mysql_real_escape_string($loginname)."' ";
$q.="AND password='".mysql_real_escape_string($loginpass)."' ";

$res=mysql_query($q,$Link) or die(mysql_error());
while($rows = mysql_fetch_array($res,MYSQL_ASSOC)){

}

それと、ある程度わかっている前提でmysql_関数は使ってはいけない
使う場合は自己責任で、トラブルの際には自己解決できるスキルをみにてうけてください

投稿2017/04/26 02:15

yambejp

総合スコア114837

seri

2017/04/26 05:44

回答ありがとうございます。それと、ある程度わかっている前提でmysql_関数は使ってはいけない使う場合は自己責任で、トラブルの際には自己解決できるスキルをみにてうけてくださいとのことですが、そのためにセキュリティの勉強をしています、そこでそういった事を言われても、気持ちが悪いだけです・・なにか特別な意味があるのでしたら言ってください。

行動規範の内容に同意します

mysql_queryのあと、もう一手順必要です。
返却されるのは結果のリソースなので、そこから１レコードずつ取得しなければいけません（いわゆるフェッチ）
マニュアルを見ればわかりますが、基本的にはこんな感じになるかと思います。

PHP
1$q = "SELECT * FROM users WHERE name=mysql_escape_string($loginname) AND password=mysql_escape_string($loginpass)";
2$rr = mysql_query($con,$q);
3while ($row = mysql_fetch_assoc($rr)) {
4    echo $row['name'];
5}