Modulo di login con prepared statement

Salve a tutti sto cercando di includere i prepared statement nella
pagina php del mio form di login ma sto avendo qualche problema
(premetto che sono un principiante)più che una soluzione bella e pronta da copia e incolla
se possibile preferirei che qualcuno mi spiegasse dove e perche ho sbagliato.
Vi posto la pagina php collegata al form

Codice PHP:


<?php
//recupero i dati dai campi del form
$user = $_POST['user'];
$pwd = $_POST['pwd'];
// Connessione al database
$mysqli = new mysqli('localhost', 'sitodiprova1927', 'la mia pasword', 'my_sitodiprova1927');
if ($mysqli->connect_error) {
die('Errore di connessione (' . $mysqli->connect_errno . ') '
. $mysqli->connect_error);
}

$password = hash('sha256', $pwd);//Creazione dell'hash perche nella registrazione tutte le password vengono salvate cosi per sicurezza

//Qui entrano in gioco i prepared statement credo che il problema sia da qui in poi.
$query = $mysqli->prepare("SELECT * FROM login WHERE user = ? AND password = ?");
$query->bind_param('ss',$user,$password);
$result = $query->execute();

if($result->num_rows) {
echo "Accesso consentito";
} else {
echo "Accesso rifiutato";
}

[darbula]

Ciao quando posti un messaggio specifica anche il tipo di errore o non leggo alcun errore..
Allora lo script a prima vista sembra corretto!! Hai creato la tabella login con i campi o anche dette colonne di tipo stringa con il nome user e l'hash della password?
PS. Attacca uguale e punto interrogativo alle colonne.
@maznella la variabile $password è definita ed è anche giusta poiché contiene l'hash della password.
EDIT: dopo $query->execute(); //no variabile $result
if($query->bind_result($col1,$col2)) {
//Se è vera
while ($query->fetch()) {
//attento che $user se non dichiarato unico non ritorna un solo valore (possono esistere più user con lo stesso nome)
printf("%s %s\n",$col1,$col2);
}
$query->close();
}
$mysqli->close();
@maznella ha ragione.
EDIT2: SELECT * (ritorna tutte le colonne non solo user e password)
http://php.net/manual/en/mysqli-stmt.bind-result.php
http://php.net/manual/en/mysqli-stmt.fetch.php

[mzanella]

Controlla sempre i valori di ritorno delle chiamate, ti diranno se e cosa non va.

In questo caso, ad occhio mi sembra che il problema sia che la variabile $password non sia definita, probabilmente intendevi $pwd. Inoltre, dovresti chiamare store_result prima di num_rows.

Non è fondamentale, ma in qualche modo aiuta ad imparare: chiama le cose con il loro nome. Il risultato di $mysqli->prepare non è una query, ma un prepared statement, o più semplicemente statement, quindi potresti chiamarlo $statement o $stmt per maggiore chiarezza.

Codice PHP:

$stmt = $mysqli->prepare("SELECT * FROM login WHERE user = ? AND password = ?");
if (!$stmt) {
echo "Prepared failed: " . $mysqli->error;
}

$stmt->bind_param('ss', $user, $pwd) or die("Binding parameters failed: " . $stmt->error);

$result = $stmt->execute();
if ($result === false) {
echo "Execute failed: " . $stmt->error;
}

$stmt->store_result();

if ($stmt->num_rows > 0) {
echo "Accesso consentito";
} else {
echo "Accesso rifiutato";
}


Salve a tutti chiedo scusa se non sono stato preciso nel spiegare il mio problema ho aggiornato
lo script php con il codice postato da mzanella e ho attaccato i punti interrogativi e i segni uguale alle colonne come suggerito da darbula, l'errore che mi da è il seguende
Prepared failed: Table 'my_sitodiprova1927.login' doesn't exist
Fatal error: Call to a member function bind_param() on boolean in /membri/sitodiprova1927/login/logins.php on line 19
di seguito posto il codice della pagina php di login GRAZIE DELLA VOSTRA ATTENZIONE

Codice PHP:

<?php
//recupero i dati dai campi del form
$user = $_POST['user'];
$pwd = $_POST['pwd'];
// Connessione al database
$mysqli = new mysqli('localhost', 'sitodiprova1927', 'la mia password', 'my_sitodiprova1927');
if ($mysqli->connect_error) {
die('Errore di connessione (' . $mysqli->connect_errno . ') '
. $mysqli->connect_error);
}

$password = hash('sha256', $pwd);

$stmt = $mysqli->prepare("SELECT * FROM login WHERE user=? AND password=?");
if (!$stmt) {
echo "Prepared failed: " . $mysqli->error;
}

$stmt->bind_param('ss', $user, $pwd) or die("Binding parameters failed: " . $stmt->error);

$result = $stmt->execute();
if ($result === false) {
echo "Execute failed: " . $stmt->error;
}

$stmt->store_result();

if ($stmt->num_rows > 0) {
echo "Accesso consentito";
} else {
echo "Accesso rifiutato";
}

[darbula]

La tabella di login e i campi stringa user e password non esistono..Prepared
failed: Table 'my_sitodiprova1927.login' doesn't exist
Non capisco il secondo errore però.. EDIT:non c'é il die() (blocco esecuzione codice) in mysqli->error Cmq.. In fase di inserimento (INSERT INTO o UPDATE) e recupero (SELECT) dovresti passare il nome dell'user e l'hash della password $password = hash('sha256', $pwd) // ovviamente $pwd sarà definita prima di passarla alla funzione hash.

La tabella di login e i campi stringa user e password non esistono..Prepared
failed: Table 'my_sitodiprova1927.login' doesn't exist

grazie darbula non mi ero accorto di aver inserito il nome dalla tabella sbagliata anche perche la tabella login
non esiste ora lo corretta con users

Cmq.. In fase di inserimento (INSERT INTO o UPDATE) e recupero (SELECT) dovresti passare il nome dell'user e l'hash della password $password = hash('sha256', $pwd) // ovviamente $pwd sarà definita prima di passarla alla funzione hash.

scusa darbula ma forse non ho capito questa parte del tuo messaggio perche io questa parte che mi spieghi la faccio all'inizio.

Codice PHP:

<?php
//recupero i dati dai campi del form
$user = $_POST['user'];
$pwd = $_POST['pwd'];
// Connessione al database
$mysqli = new mysqli('localhost', 'sitodiprova1927', 'la mia password', 'my_sitodiprova1927');
if ($mysqli->connect_error) {
die('Errore di connessione (' . $mysqli->connect_errno . ') '
. $mysqli->connect_error);
}

$password = hash('sha256', $pwd); //$pwd è definita sopra

EDIT:non c'é il die() (blocco esecuzione codice) in mysqli->error

devo inserire?

Codice PHP:

if (!$stmt) {
die('Prepared failed: ' . $mysqli->error);
}


GRAZIE MILLE :)

[darbula]

Semplicemente vuole dire che alla funzione "bind_param" devi passare $password invece di $pwd (altrimenti passi la password per com'è la inserita l'utente o meglio sanificata dall'omonima funzione che ho espresso qui sopra)..
Il die() // può descrivere l'errore con un testo e opzionalmente le variabili ma non è obbligatorio, va usato solo per fermare l'esecuzione del codice quando si incontra un errore.. Se interrompere o no dipende anche da cosa deve fare l'applicazione (output html,json) es. pagina.php sia che avviene un errore o nessun errore debbo mostrare un outupt html ne consegue che se uso die() interrompe l'esecuzione del codice (quindi anche echo '</body>'; // spero tu sappia che vuole dire una pagina HTML com tutti i tag) quindi dovrei riscreve i tag HTML dentro die() altrimenti non ci saranno mai come output.. Altro motivo è di non dare troppe informazioni all'utente (poiché lui potrebbe usarle per compiere illeciti ecc) cioè si usa come debug e prima della pubblicazione del sito

Semplicemente vuole dire che alla funzione "bind_param" devi passare $password invece di $pwd

Grazie mille non so come ho fatto a non accorgermi di una cosa cosi stupida melai anche dovuta ripetere 2 volte, ora va alla grande GRAZIE ANCORA.

[darbula]

Prego figurati... Cmq. l'ho ripetuto tre volte (il primo messaggio diceva che $password è definita ed era giusta)

[mzanella]

il primo messaggio diceva che $password è definita ed era giusta

Colpa mia che, per errore, non l'avevo vista e pensavo non fosse definita. Chiedo scusa.