Mysql Query没有返回我的结果[重复]

Question

如果我用查询运行它

"SELECT * FROM users"; 

它返回我的结果。但是一旦我运行这个

$username = $_POST['username'];
$password = $_POST['password'];

$login = "SELECT * FROM users WHERE name= ".$username." AND password= ".$password."";

没有。

如果我在没有变量的情况下在 Mysql 工作台中运行它。如果我运行 echo $_POST 值，它们会正确通过。 我对自己做错了什么感到困惑，请！帮我。 我还通过https://phpcodechecker.com/ 运行了我的代码，它在我的代码中看不到任何错误。 这是完整的功能。

function login($username,$password){
global $db_conn;
$conn = new mysqli($db_conn['servername'], $db_conn['username'], $db_conn['password'], $db_conn['dbname']);
$username = $_POST['username'];
$password = $_POST['password'];

$login = "SELECT * FROM users WHERE name= ".$username." AND password= ".$password."";
    $login_result = $conn->query($login);

    if ($login_result->num_rows > 0) {

        $output = array();
        while($row = $login_result->fetch_assoc()) {
            $output[] = $row;
            echo "".$row['name']."-".$row['password']."<br>";
        }
        } else {
            echo "Invaild Login Details!"."<br>" ;
            $conn->close();
            return false;
        }
}

每次显示“无效的登录详细信息！”但我知道他们是返回的一个结果。

我做错了什么？

Answer 1

像这样更改查询

$login = "SELECT * FROM users WHERE name= '$username' AND password= '$password'";

注意：这种方法容易受到sql注入攻击。尝试准备好的语句来避免它

Answer 2

尝试使用''(single quote) 比较name and password

"SELECT * FROM users WHERE name= '".$username."' AND password= '".$password."'";

Answer 3

$login = "SELECT * FROM users WHERE name = '{$username}' AND password = 
'{$password}' ";

Answer 4

你可以简单地指定变量而不需要去字符串追加在php中构造查询

例如：

Query = "SELECT * FROM `users` where username = '$username' AND  password = '$password' " ;

Answer 5

试试下面的代码

$login = "SELECT * FROM users WHERE name= '".$username."' AND password= '".$password."'";