为什么INSERT INTO后跟SELECT LAST_INSERT_ID()没有输出任何内容?

时间:2016-01-19 20:39:21

标签: php mysql

PHP代码我将前一页的HTML表单数据插入到数据库中,并在同一SQL语句中从插入的数据中返回PostID。 PostID列为 AUTO_INCREMENTING 。我一直在研究这个问题一两个星期,但没有找到重要的解决方案。

<?php
include("dbconnect.php");
mysql_select_db("astral_database", $con);
session_start();

$username = $_SESSION['username'];
$forumtext = $_POST["forumtext"];
$forumsubject = $_POST["forumsubject"];

$postquery = 'INSERT INTO Forums (Creator, Subject, Content) VALUES ("$username", "$forumsubject", "$forumtext"); SELECT LAST_INSERT_ID()';
$result = mysql_query($postquery, $con);

if (!$con) {
    echo "<b>If you are seeing this, please send the information below to astraldevgroup@gmail.com</b><br>Error (331: dbconnect experienced fatal errors while attempting to connect)";
    die();
}

if ($username == null) {
    echo "<b>If you are seeing this, please send the information below to astraldevgroup@gmail.com</b><br>Error (332: Username was not specified while attempting to send request)";
    die();
}

if ($result != null) {
    echo "last id: " . $result;

    $fhandle = fopen("recentposts.txt", "r+");
    $contents = file_get_contents("recentposts.txt");
    fwrite($fhandle, json_encode(array("postid" => $result, "creator" => $username, "subject" => $forumsubject, "activity" => time())) . "\n" . $contents);
    fclose($fhandle);
    mysql_close($con);
    header("location: http://astraldevgroup.com/forums");
    die();
} else {
    die("<b>If you are seeing this, please send the information below to astraldevgroup@gmail.com</b><br>Error (330: Unhandled exception occured while posting forum to website.)<br>");
    echo mysql_error();
}

mysql_close($con);
?>

首先,mysql_query不会从SELECT语句返回任何内容。我没有找到任何能够在同一查询中正确运行SELECT语句和INSERT语句的内容。如果我尝试在两个不同的语句中运行它们,它仍然不会返回任何内容。我尝试在SQL控制台中运行以下语句,它运行良好,没有错误。

INSERT INTO Forums (Creator, Subject, Content) VALUES ("Admin", "Test forum 15", "This is a forum that should give me the post id."); SELECT LAST_INSERT_ID();

2 个答案:

答案 0 :(得分:3)

mysql_query函数运行多个语句

参考:http://php.net/manual/en/function.mysql-query.php

  

mysql_query() 向服务器上当前活动的数据库发送唯一查询(不支持多个查询)...

您致电mysql_query的原因之一就是没有返回结果集。

最明显的解决方法是不要尝试在同一查询中运行SELECT。您可以改为使用对mysql_insert_id的调用。

参考:PHP: mysql_insert_id http://php.net/manual/en/function.mysql-insert-id.php

没有提出的一些问题的答案:

  • 是的,您的示例代码容易受到 SQL Injection
    • 的攻击
  • 是的,mysql_界面已经deprecated了很长时间。
  • 是的,您应该使用PDOmysqli接口而不是弃用的mysql_函数。

<强>后续

重新访问我的答案,再次查看问题和示例代码。

我之前曾表示代码容易受到SQL注入攻击,因为SQL文本中包含了可能不安全的值。这就是快速审查的样子。

但再看一遍,这并非严格正确,因为变量替换并非真正发生,因为字符串文字包含在单引号中。考虑以下内容的输出:

  $foo = "bar";
  echo '$foo';
  echo '"$foo"';

然后考虑通过以下代码行分配给$postquery的内容:

$postquery = 'INSERT ... VALUES ("$username", "$forumsubject", "$forumtext")';

修复它以使$username被认为是对变量的引用,而不是文字字符(以将分配给$username变量并入SQL文本)将引入SQL注入漏洞。

带有绑定占位符的预处理语句实际上并不那么难

答案 1 :(得分:0)

$result永远不会是null。它是结果句柄或布尔false。由于您正在测试错误的值,因此您永远不会看到mysql_query()返回的错误,告诉您查询失败。

正如其他人所指出的那样,你不能在单个query()调用中发出多个查询 - 这是对PHP mysql驱动程序中一种形式的SQL注入攻击的廉价基本防御。但是,你的其余代码很容易受到其他形式的注入攻击,因此...更好的开始阅读:http://bobby-tables.com

另外,在逻辑方面,为什么要测试空用户名 AFTER ,您尝试将相同的用户名插入数据库?您应该测试/验证运行查询的之前值。

相关问题
最新问题