將一個sql查詢的結果設置爲一個if語句中的一個變量，在php中

一種不明確的問題，但我試圖檢查用戶名是否已被佔用。我現在的代碼沒有錯誤，但它也不起作用，當回顯$ username變量時我什麼都沒有。將一個sql查詢的結果設置爲一個if語句中的一個變量，在php中

$sql="SELECT people_username FROM people WHERE people_username='{$_POST['username']}'"; 

    //Set the result of the query as $username and if the select fails echo an error message 
    if ($username = !mysql_query($sql,$con)) { 
     die('Error: ' . mysql_error()); 
    } 

    else if ($_POST['username'] == $username){ 
     $errors[ ] = 'This username is already in use, please try again...sorry'; 
    }

它是語法錯誤還是我的邏輯錯誤？

來源

2010-02-08 CNJ

SQL注入攻擊風險，從'$ _POST'拉動方向 - 使用mysql_escape_real_string。 – 2010-02-08 21:32:45

我已經用 $ _POST ['username'] = filter_var（$ _ POST ['username']，FILTER_SANITIZE_STRING）過濾了它。 – CNJ 2010-02-08 21:34:42

嘗試用真正的用戶名編碼$ _POST ['用戶名']來檢查數據庫連接是否首先啓動。 – Yada 2010-02-08 21:36:18

我只想做

$resource = mysql_query("SELECT people_username FROM people WHERE people_username='".mysql_escape_string($_POST['username'])."'"); 
if(!$resource) { 
    die('Error: ' . mysql_error()); 
} else if(mysql_num_rows($resource) > 0) { 
    $errors[ ] = 'This username is already in use, please try again...sorry'; 
} else { 
    //username is not in use... do whatever else you need to do. 
}

來源

2010-02-08 21:32:02 seventeen

謝謝，這就是我一直在尋找的！ – CNJ 2010-02-08 21:41:37

不要複製和粘貼，我沒有包括mysql_real_escape_string，以及我剛剛做的。 – seventeen 2010-02-08 21:50:35

是的，我已經消毒了，謝謝。 – CNJ 2010-02-08 21:52:27

你的代碼是錯誤的。

應該是這樣的：

$sql="SELECT people_username FROM people WHERE people_username='".mysql_escape_string($_POST['username'])."'"; 

//If the select fails echo an error message 
if (!($result = mysql_query($sql,$con))) { 
    die('Error: ' . mysql_error()); 
} 

$data = mysql_fetch_assoc($result); 

if ($data == null){ 
    $errors[ ] = 'This username is already in use, please try again...sorry'; 
}

注意，出於安全考慮，你需要逃避你的SQL查詢使用字符串。

來源

2010-02-08 21:32:24 Johnco

如果一些厚顏無恥的用戶偶然嘗試：'; DROP people; --作爲用戶名，您會遇到很大麻煩。

您可能需要檢查以下堆棧溢出後關於這一主題延伸閱讀：