Ik laat een listing van mij database zien op het scherm.
Daarin zit een zoekfunctie op code op waypoint of legger.
Als ik bij de code "GC100D" invul krijg ik 2 records (dat is perfect)
Als ik bij de andere 2 iets ingeef krijg ik altijd de melding :
Warning: mysqli_fetch_array() expects parameter 1 to be mysqli_result, boolean given in C:\xampp\htdocs\demo\test_listing.php on line 96
Lijn 96 is : while($row = mysqli_fetch_array($result))
Waarom bij code niet en bij de andere wel ?
Hier een stuk van mijn code :
if(isset($_POST['submit'])) {
$by_code=$_POST['by_code'];
$by_oms=$_POST['by_oms'];
$by_leg=$_POST['by_leg'];
if($by_code !="") {
$result = mysqli_query($con,"SELECT * FROM database_bel WHERE Code LIKE '%$by_code%' LIMIT $offset, $total_records_per_page");
}
if($by_oms !="") {
$result = mysqli_query($con,"SELECT * FROM database_bel WHERE Waypoint naam LIKE '%$by_oms%'LIMIT $offset, $total_records_per_page");
}
if($by_leg !="") {
$result = mysqli_query($con,"SELECT * FROM database_bel WHERE Owner Name LIKE '%$by_leg%'LIMIT $offset, $total_records_per_page");
}
}
Kan iemand mij zeggen waarom het juist loopt bij $by_code en bij de twee andere niet.
Maar als je meer velden invult, dan wil je toch dat dat een inclusieve of exclusieve match oplevert?
Dus als je A en B invult dat je ook enkel resultaten wilt hebben waar ofwel:
- A of B matcht (ten minste een van de twee)
- A èn B matcht (beide)
Hierboven wordt ook meerdere keren dezelfde aardappelstempel gehanteerd - elke keer een aparte query voor een enkele zoekterm.
Ik denk dat het voor zoekfunctionaliteit doorgaans beter werkt wanneer je één query opbouwt waarin een of meer zoektermen worden opgenomen.
Misschien gebruik je dat op dit moment niet of heb je het (nog) niet nodig, maar het is zeker het overwegen waard.
In jouw variant wordt ook de laatst ingevulde variant gepakt ($by_leg) waarbij $result telkens wordt overschreven, en in de variant van @Michael wordt de eerste ingevulde variant gepakt, dus in dat opzicht is het gedrag van de code -en daarmee de uiteindelijk gebruikte zoekquery- ook anders.
Stel dat $_POST['val'] de waarde '1 OR TRUE' bevat, en $sql "SELECT * FROM table WHERE id = $iId", dan zou iemand veel meer informatie kunnen zien dan dat de bedoeling is.
De enige twee goede manieren om variabelen door te geven aan een database zijn
- de inhoud kloppend maken. Dat is lastig, behalve bij getallen: $iId = (int) $iId
- prepared statements
De enige twee goede manieren om variabelen door te geven aan een database zijn
- de inhoud kloppend maken.
- prepared statements
quotes icm real_escape_string werkt prima. Het een is niet veilig zonder het ander.
Ad Fundum op 09/10/2020 16:40:52
Dat is lastig, behalve bij getallen: $iId = (int) $iId
Mja, maar dan moet je de hele tijd nadenken over / in de query en code nagaan of $iId nu expres niet ge-escaped is of dat het per ongeluk toch vergeten was. Beter is om gewoon simpelweg overal quotes + escaping toe te passen (als je niet met prepared statements werkt) (edit: en de input natuurlijk even valideren), het is niet alsof MySQL hier een traan om zal laten omdat deze toch (op zijn minst in de niet-prepared statement modus volgems mij) redelijk type-ongevoelig is.
