我正在使用mysql或mysqli的password()函数在SELECT查询中对用户进行身份验证。
select * from users where u_name='$username' and u_pword = password('$password');
password()函数呢?password()函数是放在预处理语句中,例如password(?),还是放在参数中,例如password($var)?<?php
$link = new mysqli( /* connect */);
if ($mysqli->connect_errno) {
echo "Failed to connect to MySQL: (" . $mysqli->connect_errno .") "$mysqli->connect_error;
}
/* Prepared statement, stage 1: prepare */
if (!($stmt = $mysqli->prepare("SELECT * FROM `users` WHERE u_name=? AND u_pword=password(?)"))) {
echo "Prepare failed: (" . $mysqli->errno . ") " . $mysqli->error;
}
if (!$stmt->bind_param("ss", $username, $password )) {
echo "Binding parameters failed: (" . $stmt->errno . ") " . $stmt->error;
}
if (!$stmt->execute()) {
echo "Execute failed: (" . $stmt->errno . ") " . $stmt->error;
}
?>
希望这有所帮助。如果是的话,请接受为答案。 无论如何,正如有人建议的那样,您不应该使用PASSWORD()函数,而且我会说您应该使用PDO。它值得。只要SQL兼容,切换数据库非常容易。即使不兼容,仍然相对容易。
自MySQL 5.7.6起,此函数已被弃用,并将在未来的MySQL版本中删除。http://dev.mysql.com/doc/refman/5.7/en/encryption-functions.html#function_password然而我不知道如何使用带参数的查询来使用mysql函数。如果你在绑定值中使用`'password( ' . $password . ')',它只会被视为字符串引用。还请注意,PASSWORD()`由MySQL服务器中的身份验证系统使用;你不应该在你自己的应用程序中使用它。 - chris85Tablewhere name = md5(?)`。 - chris85?作为占位符。您认为PASSWORD()的参数与查询的其他部分有什么不同吗? - Barmar