Question

我目前正在尝试制作电视剧的一页。不知何故，页面只显示seasons的一行，我的数据库中有5行。

$sql = "SELECT * FROM `shows` WHERE url='".dburl($_GET["url"])."'";
$result = $conn->query($sql);

if ($result->num_rows > 0) {
    while($row = $result->fetch_assoc()) {

    // General info about the TV show here

        $sql = "SELECT * FROM seasons WHERE `show`='".$row["id"]."' ORDER BY number ASC";
        $result = $conn->query($sql);

        if ($result->num_rows > 0) {
            while($seasons = $result->fetch_assoc()) {

            // The seasons

                $sql= "SELECT * FROM episodes WHERE `show`='".$row["id"]."' AND `season`='".$seasons["number"]."' ORDER BY number DESC";
                $result = $conn->query($sql);

                if ($result->num_rows > 0) {
                    while($episodes = $result->fetch_assoc()) {

                        // The episodes, sorted by season

                    }
                }

            }
        }

    }
}

我忽略了什么改变吗？ episodes部分完全正常，它显示了一季中的所有剧集。

Answer 1

您正在覆盖外部循环使用的$result变量。只需使用一个新变量：

$sql = "SELECT * FROM seasons WHERE `show`='".$row["id"]."' ORDER BY number ASC";
$seasons_result = $conn->query($sql);

if ($seasons_result->num_rows > 0) {
    while($seasons = $seasons_result->fetch_assoc()) {

Answer 2

我建议你在一个mysql查询中获取所有数据，使用正确的变量转义，代码将比你得到的更简单，更易读。那么也许你会犯更少的错误，但有更好的编码：

$mysqli = new mysqli("localhost", "my_user", "my_password", "my_db");

/* check connection */
if (mysqli_connect_errno()) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}

  $sql = "SELECT * FROM `shows` sh
         JOIN `seasons` se.show ON sh.id
         JOIN `episodes` e ON e.show = se.id AND e.season = e.number
         WHERE url=?
         ORDER BY se.number, e.number";

  /* Prepare statement */
  $stmt = $conn->prepare($sql);
  if($stmt === false) {
    trigger_error('Wrong SQL: ' . $sql . ' Error: ' . $conn->errno . ' ' .$conn->error, E_USER_ERROR);
  }

   /* Bind parameters. Types: s = string, i = integer, d = double,  b = blob */
   $stmt->bind_param('s', dburl($_GET["url"]));

  /* Execute statement */
  $stmt->execute();

  /* Fetch result to array */
  $res = $stmt->get_result();
  while($row = $res->fetch_array(MYSQLI_ASSOC)) {
     array_push($a_data, $row);
  }

  /* close statement */
  $stmt->close();
}

/* close connection */
$mysqli->close();

理由或解释：

永远不要在SQL中连接或插入数据

永远不要建立一个包含用户数据的SQL字符串   级联：

$ sql =＆＃34; SELECT * FROM users WHERE username =＆＃39;＆＃34; 。 $ username。＆＃34;＆＃39 ;;＆＃34 ;;

或插值，基本相同：

$ sql =＆＃34; SELECT * FROM users WHERE username =＆＃39; $ username＆＃39;;＆＃34;;

如果＆＃39; $ username＆＃39;来自不受信任的来源（你必须假设   它有，因为你不能在源代码中看到它，它可以   包含诸如＆＃39;之类的字符。这将允许攻击者执行   与预期的查询非常不同，包括删除您的   整个数据库等。使用预处理语句和绑定参数   一个更好的解决方案。 PHP＆＃39; mysqli和   PDO功能包括此功能（请参阅   下文）。

来自OWASP：PHP Security Sheet

PHP Mysql select只显示一行

2 个答案: