Klem Lloyd Mwenya Ответов: 3

В чем проблема с моим запросом вставки? Я подключаюсь к базе данных, но не могу вставить.

Я пытаюсь вставлять данные в базу данных каждый раз, когда запускается php-скрипт. Соединение с базой данных устанавливается хорошо, но ничего не вставляется. В чем же проблема?

Что я уже пробовал:

<?php
/** Connecting to database */

include "../includes/dbConn.php";

/** Display errors 

ini_set('display_errors', 1);
ini_set('display_startup_errors', 1);
error_reporting(E_ALL);

*/

/** Scan directory for files */

$files = glob('*.mp3');

/** Sort files */

usort ($files, function ($a, $b) {
	return filemtime($a) < filemtime($b);
});

/** Insert list of files to database if they don't exist already */

$i = 0;

while ($files[$i]) {
	$track_name = basename($files[$i]);
	$userIp = "";
	$date = ""; 
	echo $track_name."**";
	
	$addQuery = "INSERT INTO `music_downloads` (id, track_name, ip, date, downloads_number) VALUES (default, '$track_name', NULL, NULL, '0')";
	
	mysqli_query($conn, $addQuery);
	
	$i++;
	
}

?>

Richard MacCutchan

Вы должны проверить возвращаемое значение от вашего звонка до mysqli_query, чтобы посмотреть, удалось ли это или нет.

3 Ответов

Рейтинг:
0

OriginalGriff

Мы не можем сказать - это слишком зависит от ваших данных и существующего контента БД, к которому у нас нет доступа.
Так что все будет зависеть от тебя.
К счастью, у вас есть инструмент, который поможет вам выяснить, что происходит: отладчик.
Поместите точку останова в первую строку функции и запустите код через отладчик. Затем посмотрите на свой код и на свои данные и определите, что должно произойти вручную. Затем по одному шагу в каждой строке проверяйте, что то, что вы ожидали, произойдет именно так, как и произошло. Когда это не так, тогда у вас есть проблема, и вы можете вернуться назад (или запустить ее снова и посмотреть более внимательно), чтобы выяснить, почему.

Извините, но мы не можем сделать это за вас - пришло время вам освоить новый (и очень, очень полезный) навык: отладку!


Но ... не делай ничего подобного! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

Рейтинг:
0

phil.o

Если столбец id автоматически увеличивается, его не нужно включать в инструкцию INSERT. Кроме того, столбец download_number предполагает, что он содержит число, поэтому вам, возможно, придется предоставить ему числовое значение вместо строки.
Вы также должны использовать подготовленный оператор для предотвращения любой атаки SQL-инъекции:

$stmt = $conn->prepare("INSERT INTO `music_downloads` (track_name, ip, date, downloads_number) VALUES (?, ?, ?, ?)");
$stmt->bind_param("sssi", $track_name, NULL, NULL, 0);
$stmt->execute();

Рейтинг:
0

Patrice T 

$addQuery = "INSERT INTO `music_downloads` (id, track_name, ip, date, downloads_number) VALUES (default, '$track_name', NULL, NULL, '0')";

Не обязательно решение вашего вопроса, но у вас есть еще одна проблема.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]