FanatPHP

Вопрос
Сколько строк вернёт база данных, если в запрос передать несуществующий логин?

Дополнительный вопрос
Какой смысл вообще городить авторизацию, если любой придурок авторизуется без всякого пароля, через SQL инъекцию?

Подробнее про вопрос секьюрности этого куска:
Если переменная подставляется напрямую в запрос, то это значит что в нее можно дописать SQL, который будет делать совсем не то, что ожидалось.
Например, если вместо имени пользователя написать что-то вроде имя' AND LEFT(password, 1) = 'a
то тогда код напишет "Лоигн занят" если первая буква пароля - "а". Пара десятков таких запросов - и первую букву мы уже угадали. Тем же способом же достаём остальные и вот мы получили пароль любого клиента.

Чтобы этого не было, переменные никогда не пишут в запрос напрямую. а передают отдельно.
как это делать - я уже писал подробно, правда в ответе на другой вопрос

Здесь надо делать так

$input = json_decode(file_get_contents("php://input"), true);

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$link = mysqli_connect(*информация БД*);
$link->set_charset("utf8mb4");

$stmt = $link->prepare( "SELECT login FROM sn_users WHERE login=?");
$stmt->bind_param("s", $login);
$stmt->execute();
$result = $stmt->get_result();
$row = $result->fetch_assoc();
if ($row) {
    echo "Лоигн занят";
} else {
    echo "Лоигн свободен";
}

На частные вопросы ответили в комментариях, поэтому ответим на вопрос из заголовка.

Чтобы соединить сайт с mysql, в РНР вообще-то есть два API - mysqli и PDO. Несколько лет назад с mysqli вообще невозможно было нормально работать, но на данный момент они выровнялись, хотя PDO все равно удобнее, по трем причинам

1. Единый интерфейс при работе с различными СУБД (неактуально, если mysql для нас является синонимом слова база данных)
   
2. Набор функций-хелперов для получения данных из БД в различных форматах (при желании легко воспроизводится вручную)
   
3. Именованные плейсхолдеры (для некоторых это главная причина использовать PDO)
   

Но в целом, как я говорил выше, сейчас можно использовать любое API. Главное - не использовать тот древний говнокод, который приведён в вопросе.

1. Создаём файл`config.sample.php` куда кладем все настройки приложения, в том числе базы данных

return [
	'db' => [
		'host' => '127.0.0.1',
		'username' => '',
		'password' => '',
		'dbname' => '',
		'port' => 3306,
		'charset' => 'utf8mb4',
	],
];

2. В файле, который включается во все скрипты сайта, добавляем код

if (!file_exists('config.php'))
{
	throw new \Exception('Create config.php based on config.sample.php');
}
$config = require 'config.php';

3. И дальше в этом же файле пишем собственно нормальный код подключения к БД
либо к mysqli

// включаем режим информирования об ошибках
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
// подключаемся к серверу
$dbc = $config['db'];
$db = new \mysqli($dbc['host'], $dbc['username'], $dbc['password'], $dbc['dbname'], $dbc['port']);
// не забываем установить кодировку, чтобы не было ошибок с кракозябрами
$db->set_charset($dbc['charset']);

либо к PDO

$options = [
    \PDO::ATTR_ERRMODE            => \PDO::ERRMODE_EXCEPTION,
    \PDO::ATTR_DEFAULT_FETCH_MODE => \PDO::FETCH_ASSOC,
    \PDO::ATTR_EMULATE_PREPARES   => false,
];
$dbc = $config['db'];
$dsn = "mysql:host=$dbc[host];dbname=$dbc[dbname];charset=$dbc[charset];port=$dbc[port]";
$pdo = new \PDO($dsn, $dbc['username'], $dbc['password'], $options);

После того как будет освоена работа с системой контроля версий (а по-хорошему это надо было сделать уже давно) добавляем config.php в файл .gitignore
Таким образом на каждом хосте, где исполняется этот код, будет собственный файл с настройками, создаваемый по образцу из config.sample.php

Да, и Очень Важное Дополнение:

почему нельзя сделать 1 соединение для сайта и не тратить каждый раз время на коннект к БД?

Никогда не следует переживать по поводу воображаемых проблем. Вот только когда создание коннекта каждый раз станет реальной проблемой, только тогда и начинать переживать по этому поводу и искать пути решения (спойлер: никогда).

Учить РНР надо не по написанным нубами при царе Горохе руководствам, а по нормальным учебникам.
Или хотя бы по нормальным ответам на тостере.
https://qna.habr.com/q/918033#answer_1847841

Никакого $data в запросе быть не должно. Любые переменные должны отправляться в БД отдельно
Для этого надо
Заменить все переменные в запросе на специальные маркеры, которые называются плейсхолдеры или параметры, а по сути - просто знаки вопроса
Подготовить запрос к исполнению с помощью функции prepare(). Эта функция принимает строку запроса и возвращает экземпляр специального класса stmt, с которым в дальнейшем и производятся все манипуляции
Привязать переменные к запросу.
Выполнить подготовленный ранее запрос с помощью с помощью execute()

В mysqli это будет так

$sql = "INSERT INTO `events` (`title`, `discription`, `date`, `img`) VALUES (?,?,?,?)";
$stmt = $link->prepare($sql);
$stmt->bind_param("sssss", $title, $discription, $date, $path);
$stmt->execute();

bind_param() принимает в качестве параметров все переменные, которые должны попасть в запрос, в том же самом порядке, в котором стоят плейсхолдеры в запросе. Но кроме того, сначала в этой функции должны быть указаны типы для всех переменных, в виде строки, где тип переменной обозначается одной буквой. То есть букв в этой строке должно быть ровно столько, сколько дальше будет переменных. К счастью, можно особо не париться с типами и для всех переменных указывать тип "s".

И тогда никаких ошибок запроса уже никогда не будет. Не говоря уже про инъекции.

Как всегда, человек выстрелил себе в ногу, но ищет почему-то партитуру Маленькой ночной серенады Моцарта.
Казалось бы, при чем здесь партиционирование, если проблема в том, что в БД хранятся файлы?

Ну вот как можно быть настолько слепым, и не видеть реальной проблемы, а уноситься фантазиями в какие-то совершенно голубые дали, вообще никак не связанные с реальностью?

Партиционирование применяется, когда в БД много строк.
А физический размер БД не имеет значения.

Надо во-первых, выкинуть файлы из БД
А во-вторых, решать только реальные проблемы, а не "что-то у меня база растолстела"

Если данные должны суммироваться, то никакой запятой в них быть не должно. Десятичный разделитель для данных в mysql - ТОЧКА.
И числовые данные надо хранить в предназначенных для этого типах полей.
Со списком можно ознакомиться в документации: https://dev.mysql.com/doc/refman/8.0/en/numeric-ty... и выбрать наиболее подходящий. Это может быть либо тип с фиксированной точкой (DECIMAL), либо с плавающей (FLOAT).

1. Найти того гения, который придумал так хранить данные, и дать ему хорошенько по голове, чтобы он на всю жизнь запомнил, что так делать нельзя
2. Сделать нормальную базу данных, где эти идентификаторы хранятся в таблице-связке
3. Выполнить простейший стандартный SQL запрос.

Ни в коем случае не надо совершать ни одно из телодвижений, предложенных Rsa97
Режим выброса исключений специально сделан, чтобы не писали этот говнокод из прошлого века.
Если в коде написано if($mysqli->connect_errno) {, это означает что никакой нормальной обработки ошибок там всё равно не было. И надо просто убрать этот бесполезный мусор. Поскольку вариант с исключением в сто раз информативнее и удобнее для обработки.
И у запросов тоже, кстати, надо поубирать всю тупизну с if($mysqli->error) или, того хуже, or die()

Если же интересует, как в принципе обрабатывать ошибки в РНР, то это другой вопрос.
Для локальной системы ничего менять не надо. Для боевой - включить логирование ошибок, выключить показ в браузер и в случае ошибки выводить стандартную страницу о временной недоступности сайта.

Тот редкий случай, когда действительно требуется именно обработка ошибки соединения, а не "die('что-то пошло не так')" мы здесь не рассматриваем, поскольку к моменту, когда программисту такое может понадобиться, он уже владеет базовыми приемами программирования и вполне разберётся сам.