Как лучше реализовать вывод в корзину?

Question

[danyarob]

У меня есть сессия, где хранятся товары, добавленные в корзину: $_SESSION['cart'][-id предмета-]
После я по этому id вывожу данные о товаре в корзину следующим методом:

for($i = 0; i < count($_SESSION['cart'])-1; $i++)
{
  $id = $_SESSION['cart'][$i];
  $result =  $conn->query("SELECT * FROM `items` WHERE `type`= '$id' ");
  while($row = mysqli_fetch_assoc($result))
  {
    
  }
}

Не подскажете, может ли от этого упасть база, если будет много человек отправлять запросы,грубо говоря, каждую минуту. Или можно как-то вообще по-другому это реализовать?

Comments

[Akina]

если будет много человек отправлять запросы, грубо говоря, каждую минуту.

А поконкретнее? Много - это сколько? какой прогнозируемый поток запросов в секунду?

А то кому-то и три ореха - куча...

[danyarob]

Akina, ну человек 150

[Akina]

150 человек? даже если по запросу в секунду с носа - то на этом может сдохнуть разве что какой-нить древнейший сотый пенёк... а для более-менее современной системы, пусть и голимой воркстейшн, это нагрузка ниачём.

[danyarob]

Akina, спасибо за пояснение

Answer 1

[alexalexes]

1. Ограничьте количество предметов в корзине каким-то макс. значением, оно должно быть явно задано, но не вызывало дискомфорта у пользователей (оно должно иметь такое значение, чтобы в нормальных человеческих условиях оно едва достижимо).

$max_cart_item_count = 500;
$curr_cart_item_count = min(count($_SESSION['cart']), $max_cart_item_count);
for($i = 0; $i < $curr_cart_item_count; $i++)
....

2. Есть опасность применения SQL инъекций.
В этом месте, где подставляется переменная в текст запроса, если умело закомментировать кавычку, то можно получить полный доступ к базе.
WHERE `type`= '$id'
Избегайте подставлять любые переменные с пользовательскими данными в текст запроса ("с пользовательскими данными" и "в текст запроса" - нужно подчеркнуть и осмыслить как отдельные понятия с точки зрения безопасности). Для этого существует специальные методики подготовки запроса:

$stmt = $conn->stmt_init();
$stmt->prepare("SELECT * FROM `items` WHERE `type` = ?"); // подставляем текст запроса, причем на месте входных параметров ставим специальные маркеры - плейсхолдеры.
$stmt->bind_param("i",  $id); // подставляем на место плейсхолдера значение параметра как целочисленный тип
$stmt->execute(); // вот теперь можно выполнить запрос
$result = $stmt->get_result();
while($row = $result->fetch_assoc())
{
 // Обработка результатов
}

Comments

[danyarob]

Спасибо огромное за разъяснение. А,если допустим, у меня поиск идет по 2 параметрам: id, type; тогда это так будет выглядеть: bind_param("ii", $id,$type); ?

[alexalexes]

Для mysqli методов - да, так. И вопросики расставляете в порядке привязки параметров.
Также бывают и другие типы, но востребованы в основном целые числа (i), веществ. числа (d) и строки (s).

[danyarob]

alexalexes, Спасибо

[danyarob]

alexalexes, еще такой вопросик: этим методом тоже надо пользоваться при ajax'e, чтобы не было инъекции? Или там можно просто через query()?

[alexalexes]

Практически, любой веб-сайт это такая вот упрощенная многослойная модель приложения:

Браузер (код на JS) <- ajax-запрос -> PHP <- SQL-запрос -> СУБД MySQL

Каждый слой общается с соседним через какой-то вид запросов.
Еще нужно видеть в этой упрощенной схеме, где находится безопасная контролируемая зона приложения, и неконтролируемая зона.
В такой схеме эта граница проходит у правой стрелочки "ajax-запрос ->".
Неконтролируемая зона - это окружение браузера и отправляемые им запросы на ваш сервер.
Любой JS код, куки, переменные локального хранилища браузера, которые выполняются на стороне пользователя (в браузере), эти объекты могут быть изменены им так, чтобы начать наносить вред остальным частям приложения, которые находятся в контролируемой зоне.
Данные в посылке ajax запроса можно менять как угодно, и бесполезно делать на стороне клиента безопасные проверки. Все проверки в JS коде направлены на соблюдение целостности бизнес-логики во благо удобства пользователя. Но это не отменяет того, что проверять данные нужно на предмет безопасности на стороне сервера.
PS: А про какой такой метод query() говорите, что он делает в JS?

[danyarob]

alexalexes, Я имел в виду, ajax->php, а в php метод query

[alexalexes]

Метод $conn->query() правильно использовать, если запрос не предусматривает параметров. В остальных случаях - только подготовка, подстановка параметров и выполнение.