Edit Report a Bug

mysqli::real_query

mysqli_real_query

(PHP 5, PHP 7, PHP 8)

mysqli::real_query -- mysqli_real_query — Führt eine SQL-Abfrage aus

Beschreibung

Objektorientierter Stil

public mysqli::real_query(string $query): bool

Prozeduraler Stil

mysqli_real_query(mysqli $mysql, string $query): bool

Führt eine einzelne Abfrage in der Datenbank aus, deren Ergebnis dann mit den Funktionen mysqli_store_result() oder mysqli_use_result() abgerufen oder gespeichert werden kann.

Warnung

Sicherheitswarnung: SQL-Injection

Wenn die Abfrage irgendwelche Eingabevariablen enthält, sollten stattdessen parametrisierte Prepared Statements verwendet werden. Alternativ dazu müssen die Daten korrekt formatiert sein und alle Strings müssen mit der Funktion mysqli_real_escape_string() maskiert werden.

Um festzustellen, ob von einer bestimmten Abfrage eine Ergebnismenge zu erwarten ist oder nicht, siehe mysqli_field_count().

Parameter-Liste

mysql: Nur bei prozeduralem Aufruf: ein von mysqli_connect() oder mysqli_init() zurückgegebenes mysqli-Objekt.
query: Die Zeichenkette für die Abfrage

Rückgabewerte

Gibt bei Erfolg true zurück. Bei einem Fehler wird false zurückgegeben.

Fehler/Exceptions

If mysqli error reporting is enabled (MYSQLI_REPORT_ERROR) and the requested operation fails, a warning is generated. If, in addition, the mode is set to MYSQLI_REPORT_STRICT, a mysqli_sql_exception is thrown instead.

Siehe auch

mysqli_query() - Führt eine Abfrage in einer Datenbank durch
mysqli_store_result() - Überträgt die Ergebnismenge der letzten Abfrage
mysqli_use_result() - Initiiert den Abruf einer Ergebnismenge

add a note

User Contributed Notes 3 notes

down

TIL ¶

6 years ago


Please note that this example is vulnerable to injection and uses plain-stored passwords...

down

jay at cloudulus dot media ¶

5 years ago


Well, we don't know if $password is in plain text because it was never defined in the example.

New passwords should be stored using

<?php
$crypt_pass = password_hash($password, PASSWORD_DEFAULT);
?>

Where PASSWORD_DEFAULT = BCRYPT algorithm

Then to compare a user entered password to a database stored password, we use:

<?php
$valid = password_verify($password, $crypt_pass);
?>

Which returns true or false.

As for being vulnerable to injection, this is true. To avoid this, use sprintf() or vsprintf() to format the query and inject the values using mysqli::real_escape_string, like so:

<?php
$vals = [$db->real_escape_string($username), $db->real_escape_string($password)];
$query = vsprintf("Select * From users Where username='%s' And password='%s'", $vals);
$result = $db->real_query($query);
?>

down

-58

Tinker ¶

8 years ago


Straightforward function - simply connect to the database and execute a query, similar to this function bellow.

<?php

function check_password($username, $password) {
// Create connection
$db = new mysqli('localhost','database_user','database_pass','database_name');

// Check for errors
if($db->connect_errno){
echo $db->connect_error;
}

// Execute query
$result = $db->real_query("Select * From users Where username='$username' And password='$password'");

// Always check for errors
if($db->connect_errno){
echo $db->connect_error;
}

return $result == true;
}
?>

Very easy. 

Replace database_user, database_pass and database_name with the proper names, and the text inside real_query with your actual query. 

Don't forget the quotes on either side (except for numbers, there you can omit them) otherwise it won't work. Hope that helps someone.

add a note