Prepared Statements auswählen mit Variablen - php

Question

Der Versuch, nur etwas einrichten, dass username = Passwort zu bestätigen, über num_rows = 1.

Der Versuch vorbereitete Anweisungen zu verwenden, das ich noch nie zuvor verwendet haben, und ich bin etwas fehlt. Woher kommt die Variable in bind_results ('s', $ variable)?

Auch, es funktioniert einfach nicht für mich.

<?php 

require ($_SERVER['DOCUMENT_ROOT'].'/db-connect.php'); 

$conn = new mysqli($servername, $username, $password, $dbname); 
if ($conn->connect_error) { 
    die("Connection failed: " . $conn->connect_error); 
} 

$user = $_POST['username']; 
//$user = $mysqli->real_escape_string($user);// 
$password = $_POST['password']; 
//$password = $mysqli->real_escape_string($password);// 

if ($stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?")) { 

    $stmt->bind_result('ss', $username); 

    $stmt->execute(); 
    $result = $stmt->num_rows; 

    echo $result; 

    $stmt->close(); 
} 

$mysqli->close(); 

?> 

Answer 1

Ich sehe drei Probleme:

$stmt->bind_result('ss', $username); 

Zuerst bind_resultPHP documentation: "Wird Spalten im Ergebnis zu Variablen"

Ich denke, Sie suchen nach bind_param. PHP documentation:

"Binden Sie Variablen für die Parametermarken in der SQL-Anweisung, die an mysqli_prepare() übergeben wurde."

Zweitens Ihre Aussage hat zwei Parametermarken (?), Ihre bind Anweisung gibt zwei Strings (ss), aber Sie bieten nur eine Variable ($username).

Drittens ist $username nicht, was Sie von $_POST['username'] erhalten. Sie haben das $user zugewiesen. $username ist für Ihre Datenbankverbindung.

ich denke, es sollte stattdessen mit dieser Linie für Sie arbeiten:

$stmt->bind_param('ss', $user, $password);