Problema en LOGIN

Hola,

Mi problema es que tengo varios usuarios registrados en my bbdd. Pero cuando hago Login, siempre me detecta como si el usuario y contraseña no coinciden (a pesar de que si coinciden!!). Este es el cógigo:

<?php session_start();

if(isset($_GET['reg'])){
$reg=$_GET['reg'];
}else{
$reg="";
}
if($reg==1){
$msg1="<font color=\"#FF0000\"><b>Your details have been added, please login</b></font>";
}elseif($reg==2){
$msg1="<font color=\"#FF0000\"><b>You have been successfully logged out.</b></font>";
}

if(isset($_POST['submit'])){
if( empty($_POST['uname']) && (empty($_POST['upass']))){
header( "Location:Messages.php?msg=1" );
exit();
}
//transfer to shorter var
$n=$_POST['uname'];
$p=$_POST['upass'];

//connect to db
include('usuarios/prueba/config.php');
$query="select * from usuarios where usuario='$n' and password='$p'";
$result=mysql_query($query);

$num=mysql_num_rows($result);
if($num>0 ){

//put in session vars

$mytime=time();
$mytime=date("H:i:s A",$mytime);
$_SESSION['time'] = $mytime;
$_SESSION['status'] = 'logged';
$_SESSION['username'] = $n;
//goto next page
header("location:usuarios/prueba/welcome.php");
exit;
}else{
$_SESSION['status'] = 'not logged';

header( "Location:Messages.php?msg=2" );
exit();

}
}
?>

Gracias!!

La query no debería ser...

Creo que es por eso, puesto que le estas pasando realmente que busque un usuario que se llame $n y que tenga la pass $p. No el valor de la variable sino el nombre de la misma. Seguramente si creas un usuario en la base de datos con el nombre "$n" y con pass "$p" te marque como logueado.

Por eso debes indicar en la sentencia que se trata de una variable.

Además creo que deberías comprobar primero el nombre y en consecuencia comprobar la clave y no hacerlo en el mismo query.

Como seria comprobar primero el nombre y despues la clave?

Muchas gracias por la ayuda!!

Que problema tiene comprobar el nombre y password al mismo tiempo?

Gracias!

Si separas esa consulta en dos partes, en la primera seleccionas el id del usuario que corresponde con el nombre de login, y en la segunda buscas el password que corresponde al id que seleccionaste en la consulta anterior, entonces podés saber que si la primer consulta no te devuelve ningún resultado es porque el usuario no existe. Si te devuelve algún resultado entonces estás seguro que el usuario es válido y ahora te queda nomás comprobar si el password concuerda.

Si compruebas los dos datos a la vez es muy sencillo acceder sin conocer la clave al poder delimitar la consulta sin que se cumpla la segunda condición:

Consulta(SELECCIONA * DE usuarios SI ususrio=usuario Y clave=clave)
Podemos cortar la consulta:
Consulta(SELECCIONA * DE usuarios SI ususrio=usuario'; Y clave=clave)