1

得到如下代码:

<?php
require_once("../classes/pdo.class.php");
$db = new mysql();
$db->connect();
class votingpanel{

    public function logintopanel($username, $password){

        //Dane z logowania + token
        $login = mysql_real_escape_string($username); 
        $password = mysql_real_escape_string($password); 

            $sql = $db->prepare("SELECT * FROM xxx WHERE username = '$login'");
            $sql = $db->exec($sql);
            if($sql == 1){
                $password = sha1($password);
                $sql = $db->prepare("SELECT * FROM xxx WHERE username = '$login'");
                $sql = $db->exec($sql);
                $row = $sql->fetch();

                if($row['password'] == $password and $row['toplistadmin'] == 1){
                    $_SESSION['toplist_admin'] = 1;
                    $_SESSION['toplist_adminloged'] = 1;

                }
                else{
                    return false;
                }
            }
            else{
                return false;
            }


    }

}

?>

pdo 类看起来像:

<?php

require_once("../konfiguracja.php");

class mysql{
    public function connect(){
        try {
            $conn = new PDO('mysql:host=xxx;dbname=xxx', 'xxx', 'xxx');
            $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        } catch(PDOException $e) {
        echo 'ERROR: ' . $e->getMessage();
        }
    }
}
?>

作为回报,我得到这样的错误:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'radiolev'@'localhost' (using password: NO) in /home/radiolev/public_html/top/toplist.class.php on line 10

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in /home/radiolev/public_html/top/toplist.class.php on line 10

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'radiolev'@'localhost' (using password: NO) in /home/radiolev/public_html/top/toplist.class.php on line 11

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in /home/radiolev/public_html/top/toplist.class.php on line 11

Fatal error: Call to a member function prepare() on a non-object in /home/radiolev/public_html/top/toplist.class.php on line 13

我不明白为什么它会出现,因为 mysql 密码很好。用普通的 mysql_connect 尝试了它们,它工作但仍然不知道为什么它出现在 pdo 中;s

4

3 回答 3

4

您不应该尝试将 mysql_real_escape_strings() 与 PDO 一起使用——它不在 PDO 库中(它在旧的和令人讨厌的mysql库中)并且使用不同的(全局--blah)连接到数据库。

首先用 mysql_real_escape_strings() 去掉 2 行。

其次,您正在使用准备好的语句,因此绑定您的值——这很容易!只需将变量替换为以冒号开头的占位符,无需手动引用它。然后调用 bindValue() 是您新创建的 PDOStatement (由 创建$db->prepare())的方法。最后在语句上调用执行。

              $sql = $db->prepare("SELECT * FROM xxx WHERE username = :login ");
              $sql->bindValue(":login", $login);
              $result = $sql->execute();

这将安全地逃脱并防止在 mysql 服务器端注入 $login 变量。

于 2013-01-01T17:27:44.713 回答
1

不要使用函数 - 您现在使用 PDO,当您使用函数时,会在自动模式下使用默认设置创建连接。

你在你的类变量中使用 $db。但是对于类方法,这是局部变量。您应该使用全局声明或将 $db 作为函数的参数(通过引用)提供给方法。

于 2013-01-01T17:27:24.070 回答
0

此代码引发错误,因为您将mysql_*转义函数与 PDO 结合使用。mysql_real_escape_string需要来自 的活动数据库连接mysql_connect。(不要问我为什么,但确实如此。)

如果您仍然使用 PDO 的准备好的语句,请不要转义:只需使用内置参数传递:

// let $dbh be a PDO object, probably defined inside your mysql class
$stmt = $dbh->prepare("SELECT * FROM xxx WHERE username = ?");
$stmt->bindParam(1, $login);
$results = $stmt->execute();
于 2013-01-01T17:29:18.333 回答