Форма входа в PHP неверна

Question

В моем скрипте входа в php есть ошибка, но я не смог ее найти. можете ли вы объяснить мне, как отладить эту простую ошибку.

вот мой сценарий:

session_start(); 

include("connect.php"); 

$kullanici = $_POST["user"]; 

$kullanici_sor = mysql_query("SELECT * FROM admin where isim = '{$user}'") or die (mysql_error)(); 

$admin = mysql_fetch_array($user_ask); 

if($_POST["user"] == "" and $_POST["pass"] == "") 
{ 
    echo "Cannot empty fields.Please tyr again!"; 
}else{ 
    if(isset($_POST["user"])) 
    { 
     if($_POST["user"]== $admin['name'] and ($_POST["pass"] == $admin['pass'])){ 
     $_SESSION["enter"] = true; 
     $_SESSION["name"] =$_POST["user"]; 
     $_SESSION["pass"] =$_POST["pass"]; 
     header("Location: panel.php"); 
     exit(); 
    }else{ 
     echo"Wrong pass or username"; 
     header("refresh:2; url=index.php"); 
    } 
} 

Answer 1

Вы, вероятно, следует изменить строку:

$admin = mysql_fetch_array($user_ask); 

информация

$admin = mysql_fetch_array($kullanici_sor); 

Но ваш код уязвим для SQL инъекций. Вы должны использовать подготовленные инструкции через PDO, а не mysql. Вы должны также в начале кода (после <?php добавить:.

error_reporting(E_ALL); 
ini_set('display_errors','1'); 

, когда вы проверяете ваш сценарий На производстве он должен быть установлен на:

error_reporting(0); 
ini_set('display_errors','0'); 

EDIT И конечно же, как кто-то упомянул в комментарии, вы никогда не должны вводить свой пароль!!

Answer 2

$kullanici_sor = mysql_query("SELECT * FROM admin where isim = '{$user}'") or die (mysql_error)(); 

$admin = mysql_fetch_array($kullanici_sor);