email或用戶名 登入

我想問一下 我有欄位叫做email和passwrod

$email = $_POST['email'];$password = $_POST['password'];$login     = mysql_query("SELECT * FROM `users`JOIN `users_profile` USING (id)WHERE `email` = '".$email."' AND `password` = '".$password."' OR `username` = '".$email."' AND `password` = '".$password."'

以上是我的登入語法
假設使用者輸入email或密碼對 則登入成功：

`email` = '".$email."' AND `password` = '".$password."' 

但是若使用者輸入用戶名(username)和密碼也符合也能登入

`username` = '".$email."' AND `password` = '".$password."'

只是以上的語法只能夠輸入email和password登入
若輸入username和password登入則會失敗
確定JOIN users_profile並使用id無問題
問題在哪裡？

回複內容：

我想問一下 我有欄位叫做email和passwrod

$email = $_POST['email'];$password = $_POST['password'];$login     = mysql_query("SELECT * FROM `users`JOIN `users_profile` USING (id)WHERE `email` = '".$email."' AND `password` = '".$password."' OR `username` = '".$email."' AND `password` = '".$password."'

以上是我的登入語法
假設使用者輸入email或密碼對 則登入成功：

`email` = '".$email."' AND `password` = '".$password."' 

但是若使用者輸入用戶名(username)和密碼也符合也能登入

`username` = '".$email."' AND `password` = '".$password."'

只是以上的語法只能夠輸入email和password登入
若輸入username和password登入則會失敗
確定JOIN users_profile並使用id無問題
問題在哪裡？

用OR就要注意加括弧。

SELECT * FROM `users`JOIN `users_profile` USING (id)WHERE (`email` = '".$email."' AND `password` = '".$password."') OR (`username` = '".$email."' AND `password` = '".$password."')

然而並不建議使用這樣的sql。

你可以先在代碼裡用正則判斷一下使用者輸入的是email還是username，如果是email則用email欄位查詢，否則就用username欄位。

參考資料：http://tool.oschina.net/regex#

首先，你的代碼很容易就可以 SQL 注入了，所以請至少使用 mysqli ，個人強烈推薦 PDO。

然後，我個人的思路是，假設前端頁面的 form 表單的有類似這樣一個 input ：

我們這裡使用 name="login" 來替換 email 或者 username，然後：

$field = filter_var($_POST['login'],FILTER_VALIDATE_EMAIL) ? 'email':'username';// 這裡的 $field 就是你的 欄位 （這邊翻譯為 欄位 ）

然後 SQL 陳述式大概是這樣 ：

$email = $_POST['email'];WHERE `".$field."` = '".$email."'

再一次強調，你這樣的寫法很危險。

資料參考： http://php.net/manual/en/func...

