参数化SQL查询并优化PHP代码以进行用户注册

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (1)
  • 关注 (0)
  • 查看 (128)

这里对PHP很新,我一直在研究如何为SQL连接使用参数化查询。但是我看到的一切让我觉得我每次都需要更改相同的值才能使用参数化查询。有没有办法缩小我目前使用参数化查询我的查询?我读这些东西错了吗?

我可能是PHP的新手,但总的来说,我知道这个代码非常糟糕。我不喜欢有多个select *查询,然后通过关联引用我需要的字段。但我也没有这样做的问题。有人可以快速浏览一下,并朝着正确的方向推动我吗?我准备被称为哑巴,所以带上它。:) 谢谢。

<?php
    session_start();

    // initializing variables
    $username = "";
    $email    = "";
    $errors = array(); 

    // connect to the database
    $db = mysqli_connect('db_server', 'db_user', 'db_pw', 'db_name');

    // REGISTER USER
    if (isset($_POST['register-submit'])) {
      // receive all input values from the form
      $username = mysqli_real_escape_string($db, $_POST['reg_username']);
      $email = mysqli_real_escape_string($db, $_POST['reg_email']);
      $password_1 = mysqli_real_escape_string($db, $_POST['reg_password_1']);
      $password_2 = mysqli_real_escape_string($db, $_POST['reg_password_2']);
      $actcode  = mysqli_real_escape_string($db, $_POST['reg_actcode']);

      // form validation: ensure that the form is correctly filled ...
      // by adding (array_push()) corresponding error unto $errors array
      if (empty($username)) { array_push($errors, "Username is required"); }
      if (empty($email)) { array_push($errors, "Email is required"); }
      if (empty($password_1)) { array_push($errors, "Password is required"); }
      if ($password_1 != $password_2) { array_push($errors, "The two passwords do not match"); }
      if ($actcode != "tobecaps") { array_push($errors, "Wrong activation code"); }

      // first check the database to make sure 
      // a user does not already exist with the same username and/or email
      $user_check_query = "SELECT * FROM `users` WHERE user_name='$username' OR user_email='$email' LIMIT 1";
      $result = mysqli_query($db, $user_check_query);
      $user = mysqli_fetch_assoc($result);

      if ($user) { // if user exists
        if ($user['user_name'] === $username) {
          array_push($errors, "Username already exists");
        }

        if ($user['user_email'] === $email) {
          array_push($errors, "email already exists");
        }
      }

      // Finally, register user if there are no errors in the form
      if (count($errors) == 0) {
        $password = md5($password_1);//encrypt the password before saving in the database

        $query1 = "INSERT INTO `users` (user_name, user_email, user_password, user_register_time) VALUES('$username', '$email', '$password', 'time()')";
        mysqli_query($db, $query1);

        $query2 = "SELECT * FROM `users` WHERE user_name='$username' LIMIT 1";
        $result2 = mysqli_query($db, $query2);
        $new_user = mysqli_fetch_assoc($result2);
        $user_id = $new_user['user_id'];

        $planet_found = false;

        while (!$planet_found) {
            $galaxy = mt_rand(1, 1);
            $system = mt_rand(1, 15);
            $planet = mt_rand(1, 15);

            $query3 = "SELECT * FROM `planets` WHERE planet_galaxy='$galaxy' AND planet_system='$system' AND planet_planet='$planet' LIMIT 1";
            $result3 = mysqli_query($db, $query3);
            $planet_result = mysqli_fetch_assoc($result3);

            if (!$planet_result) {
                $planet_found = true;
            }
        }

        $query4  = "INSERT INTO `planets` (planet_user_id, planet_galaxy, planet_system, planet_planet) VALUES('$user_id', '$galaxy', '$system', '$planet')";
        $result4 = mysqli_query($db, $query4);

        $query5  = "SELECT * FROM `planets` WHERE planet_user_id='$user_id' LIMIT 1";
        $result5 = mysqli_query($db, $query5);
        $planets_info = mysqli_fetch_assoc($result5);
        $planets_id = $planets_info['planet_id'];

        $query6  = "UPDATE `users` SET user_home_planet_id='$planets_id', user_galaxy='$galaxy', user_system='$system', user_planet='$planet' WHERE user_id='$user_id'";
        $result6 = mysqli_query($db, $query6);

        //update tables with new ids here


        $_SESSION['username']   = $username;
        $_SESSION['success']    = "You are now logged in";
        header("Location: ../");
      } else {
          header("Location: ../");
      }
    }       
?>

是的,目前正在运作; 但我相信我可以打破它。欢迎任何和所有建议。

通常,代码检查用户是否存在。如果没有,它会将它们添加到用户数据库,然后为它们创建一个随机位置。

提问于
用户回答回答于

几个指针:

功能

您已将所有内容放在PHP的全局范围内。对于小型应用程序,这是可以容忍的,但很快就会失控。会发生难以追踪的奇怪错误,因为您失去了对变量的控制。你已经知道这一问题的一个迹象是你的变量的编号:$result1$result2$result3等,这是最好的功能和只,如果需要的话,返回结果的范围内执行的每个查询。

不要重复自己(DRY原则)

您的代码中有很多重复。通过在函数中收集非常相似的代码,您可以使代码更易于阅读,获得函数的好处并使更改变得更容易。例如:您重复此模式几次:

$query  = "SELECT * FROM `table` WHERE column = value LIMIT 1";
$result = mysqli_query($db,$query);
$data   = mysqli_fetch_assoc($result);

你可以把它放在一个函数中:

function retrieveDataRow($db,$table,$column,$value)
{
  $query  = "SELECT * FROM `$table` WHERE `$column` = $value LIMIT 1";
  $result = mysqli_query($db,$query);
  return mysqli_fetch_assoc($result);
}

这只是一个简单的例子,请sql-injection进一步阅读下一段。我的观点是你可以编写一次这个函数,然后多次使用它的功能。另外,假设你想对sql-injection问题做一些事情,现在你只需要在一个地方而不是很多地方处理这个问题。

谈到结构,为什么不使用mysqli的面向对象接口,而不是程序接口?我不相信这是一个有意识的选择。在使用PHP时,您会发现几乎所有内容都是使用类编写的,因此使用mysqli的面向对象接口似乎也是合乎逻辑的。最后这是你的选择,但你必须考虑这个。看到:

http://php.net/manual/en/mysqli.quickstart.dual-interface.php

错误检查

如果一切顺利,您的代码将表现良好,但如果出现问题,您的代码将如何处理?在我看来,不太好。您不检查查询执行的结果。例如:mysqli_query()FALSE在失败时返回,而不是关联数据数组。至少检查一下:

$result = mysqli_query($db,$query);
if ($result !== FALSE) {
  .... your code ....
} else error('Query error: '.mysqli_error($db));

SQL注入

您可以将变量直接插入查询字符串中。这些不能称为“参数化查询”。已经有关于此的书籍,但基本上mysqli使用参数绑定来防止sql注入,请参阅:

https://websitebeaver.com/prepared-statements-in-php-mysqli-to-prevent-sql-injection

但还有很多其他来源。这是一个非常常见的错误。

扫码关注云+社区

领取腾讯云代金券