PHP中的喜欢/不喜欢系统

时间:2018-06-25 09:56:59

标签: php sql mysqli social-networking

我正在用PHP和mysqli创建一个不喜欢的系统;我还通过在uid的帮助下加入关注者和照片表来获取用户关注者的帖子。现在,我希望用户喜欢关注者的图片,但无法获取图片的个人ID。 这是我获取用户关注者图片的代码:

$query = "SELECT photos.image_url,photos.email,photos.username,photos.uid,photos.id FROM photos join followers on photos.uid = followers.user_id where followers.uid = '$id' ORDER BY photos.image_url DESC ";
$fire = mysqli_query($con,$query) or die("can not fetch data from database ".mysqli_error($con));
if (mysqli_num_rows($fire)>0) {

  $row = mysqli_fetch_assoc($fire);
  $follower_email = $row['email'];
  $pics_id = $row['id'];

  while ( $users = mysqli_fetch_assoc($fire)) {?>

<div class="card" >
  <div class="float">
  <div class="avatar">
    <img src="<?php echo $avatar_image; ?>" class="avatar">
  </div>
      <div class="username" style="">
      <p><?php echo $users['username']; ?></p>
  </div>
</div>

  <img src="<?php echo $users['image_url']?>" alt="Avatar" style="width:100%">
  <div class="container">
    <h4><b><?php echo "<div><a href='users.php?id=".$users['uid']."'>
               <h3>".$users['username']."</h3>
      </div></a>";?></b></h4> 
<form action="<?php $_SERVER['PHP_SELF'] ?>" method="POST">
  <input type="submit"  name="like" value="like">

</form>



  </div>
</div>
</div><br>

  <?php }


}
?>

这是我插入喜欢的代码

 <?php
if (isset($_POST['like'])) {
  $query = "INSERT INTO likes(id,user_id,post_id) VALUES('','$id','$pics_id')";
  $fire = mysqli_query($con,$query)or die();


}


?>

这是我获取所有变量的代码

<?php
$query = "SELECT * FROM photos";
$fire = mysqli_query($con,$query) or die("can not fetch data from database ".mysqli_error($con));
if (mysqli_num_rows($fire)>0) {
  $users = mysqli_fetch_assoc($fire);
    $pic_id = $users['id'];

  }
  ?>
     <?php 
$query = "SELECT * FROM users WHERE email='$email'";
$fire = mysqli_query($con,$query) or die("can not fetch data from database ".mysqli_error($con));
if (mysqli_num_rows($fire)>0) {
  $row = mysqli_fetch_assoc($fire);
  $id = $row['id'];
}?>
<?php
$query = "SELECT * FROM users WHERE id='$id'";
$fire = mysqli_query($con,$query) or die("can not fetch data from database ".mysqli_error($con));
if (mysqli_num_rows($fire)>0) {
  $users = mysqli_fetch_assoc($fire);
    $id = $users['id'];
    $fullname = $users['fullname'];
    $avatar_image = $users['avatar_path'];
  }
  ?>
 <?php 
$query = "SELECT * FROM photos WHERE email='$email'";
$fire = mysqli_query($con,$query) or die("can not fetch data from database ".mysqli_error($con));
if (mysqli_num_rows($fire)>0) {
  $row = mysqli_fetch_assoc($fire);
  $photos_id = $row['id'];
  $photos_uid = $row['uid'];
  $photos_email = $row['email'];

}?>
  <?php
$query = "SELECT * FROM photos WHERE id='$id'";
$fire = mysqli_query($con,$query) or die("can not fetch data from database ".mysqli_error($con));
if (mysqli_num_rows($fire)>0) {
  $users = mysqli_fetch_assoc($fire);
  $username =  $users['username'];
}
  ?>
     <?php
     $query = "SELECT * FROM followers WHERE id='$id'";
$fire = mysqli_query($con,$query) or die("can not fetch data from database ".mysqli_error($con));
if (mysqli_num_rows($fire)>0) {
  $row = mysqli_fetch_assoc($fire);
  $user_id = $row['user_id'];
  $follower_id = $row['follower_id'];
  $uid = $row['uid'];
}

这些是我的餐桌照

这是照片表:

这是关注者表:

这是用户表:

2 个答案:

答案 0 :(得分:1)

第一件事:

您的代码似乎非常不安全。您既没有使用准备好的sql语句来防止SQL注入,也没有转义html输出中的值。例如。 <h3>".$users['username']."</h3>似乎对XSS不安全。

我的建议

  • 使用准备好的语句
  • 使用默认情况下转义的模板引擎(例如Twig)

关于您的问题:

$query = "INSERT INTO likes(id,user_id,post_id) VALUES('','$id','$pics_id')";

为什么要在此处插入一个空ID?这不应该至少有价值吗?

action="<?php $_SERVER['PHP_SELF'] ?>"

这是多余的。如果您想发布到相同的网址,只需删除操作

$ id来自哪里?设置正确吗?

join followers on photos.uid = followers.user_id

此加入条件是否正确?我不知道哪个列是连接的权限,因为这些列的名称不是很清楚。在关注者表中,user_id和uid基本相同。

很难弄清楚问题出在哪里。该代码编写得不太好,有些事情我不清楚。

答案 1 :(得分:0)

您的代码和查询使您无法获得正确的答案。进行以下更改,这将使您的查询更紧凑,并使用准备好的sql语句或转义值来防止注入。

$query = "SELECT *
          FROM photos as 'ph'
          inner join followers as 'fol'
          on fol.user_id = ph.uid
          where fol.uid = '$id'
          ORDER BY ph.image_url DESC ";

现在删除这三行代码

$row = mysqli_fetch_assoc($fire);
$follower_email = $row['email'];
$pics_id = $row['id'];

由于不需要上述操作,因此您可以在while循环中为每个条目获取相同的值。

在输入类型Submit中,传递一个动态ID来捕获将像这样被计数的图片ID 

<input type="submit" id="<?=$users['id'];?>|like" value="like">

在类似的时候只是根据“ |”将其爆炸并取爆炸数组的第零个值以获得pic id。这种类型的不喜欢的代码最好使用JQuery / AJAX。我曾经开发过一个YouTube类似页面,该页面的喜欢,投票和基于投票的视频定位都是通过JQuery / AJAX完成的,并且视频根据投票重新排列,甚至没有页面刷新。

相关问题
最新问题