Problema ao retornar dados de instrução select do BD

[Anderson Ferreira]

Alguém pode pelo amor de "Deus" me ajudar no código abaixo?

Estou fazendo um projeto de uma Urna Online, mas já tentei de tudo, pra ver o que está ocorrendo, mas não estou conseguindo resolver (sou iniciante no PHP)...

Era pra funcionar da seguinte forma: digitando o login e a senha corretamente era pra redirecionar pra uma página, caso contrária, imprimiria uma mensagem de erro.

Mas digitando o login e senha corretamente, não aparece nada, da mesma forma se digitar um dos campos errados, tb fica td em branco!

Gostaria de saber o que está acontecendo...

CÓDIGO - login.php:

<?php

    include "../conexao.php";

?>

<html>
    
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />  
        <title>Formulário</title>
    </head>

    <body>
    
        <font face="Arial, Helvetica, sans-serif">
            
            <?

                session_start();
                        
                    $_SESSION["login"] = $_POST["val_login"];
                    $_SESSION["senha"] = $_POST["val_senha"];
            
                $redirecionar="validacao.php";
                $senha=$_SESSION["senha"];
                
                $conexao_tabela = "SELECT * FROM eleitores WHERE login=".$_SESSION["login"];
                $RS = mysql_query($conexao_tabela);
                

                while ($RF = mysql_fetch_array ($RS))
                     
                    {
                    
                        if ($RF["senha"] == $_SESSION["senha"])
                        
                            {
                            header("Location: $redirecionar");
                            }
                            
                            else
                            {
                            echo "Erro";
                            }
                    }

            ?>

        </font>
    
    </body>

</html>

ATENÇÃO:

Só que na linha 18, onde está iniciando o código PHP, se eu trocar o <? por <?php, a página ao invés de ficar toda branca, fica exibindo o seguinte erro:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\Arquivos de programas\EasyPHP 3.0\www\Urna Online - New [2]\votacao\login.php on line 32

---

Obrigado,

Anderson Ferreira

Editado Junho 30, 2009 por Jonathan Queiroz
Não são permitidos posts em caixa alta (Jonathan)

[ESerra]

Troca isso:

$RS = mysql_query($conexao_tabela);

Por isso:

$RS = mysql_query($conexao_tabela)OR DIE(mysql_error());

[Gandalf1300]

Olá,

Tenta substituir as linhas:

$conexao_tabela = "SELECT * FROM eleitores WHERE login=".$_SESSION["login"];

$RS = mysql_query($conexao_tabela);

pela linha de comando:

$login = $_SESSION["login"];

$RS = mysql_query("SELECT * FROM eleitores WHERE login='$login'");

senão der certo nenhuma das duas dicas (do ESerra e minha), me procura lá na Pedreira.

[neto.joaobatista]

pela linha de comando:

$login = $_SESSION["login"];

$RS = mysql_query("SELECT * FROM eleitores WHERE login='$login'");

Se isso resolver seu problema, você faz o seguinte teste, cole o código abaixo no seu campo de login:

&6534563456' UNION SELECT 1,1,'

Note que temos no UNION SELECT 2 uns, subistitua o número de uns pelo número de colunas que você tem na sua tabela menos 1, por exemplo: Você tem 4 colunas (id, login, senha,email) você coloca no seu campo:

&6534563456' UNION SELECT 1,1,1,'

Ai no seu campo de senha você coloca apenas o número 1

Disse para você fazer colocar direto o número de colunas do seu banco - 1 para você ver o resultado, um agressor irá testar seu formulário até descobrir o número de colunas, e ai ele ganha acesso ao seu sistema.

[]'s

J. Neto