Правильно ли сформирован запрос на php, mysql?

Question

[kamtm]

Добрый день!

В книге встретил такое решение, для удобство сократил переменные в запросе:

$insert_sql = sprintf("INSERT INTO users " .
                                "(first_name, last_name) " .
                               "VALUES ('%s', '%s') ; " ,
                                mysql_real_escape_string($first_name),
                                mysql_real_escape_string($last_name));

Вопрос 1.
Нужна ли точка с запятой, перед скобкой в 3-ей строке? Если ее убрать, то все работает тоже.

Вопрос 2.
У меня первое поле user_id - auto_increment
Есть поле user_adddate- дата регистрации, тип bigint(20)

Правильно ли я сформировал запрос, указав NULL для поля user_id, и %d, для поля user_adddate?

$insert_sql = sprintf("INSERT INTO users (user_id,user_name,user_adddate) VALUES (NULL,'%s','%d')",
$user_name,TIME());

Как вариант, был такой запрос:

$insert_sql = sprintf("INSERT INTO users (user_id,user_name,user_adddate) VALUES ('%s','%s','%d')",
NULL,$user_name,TIME());

Answer 1

[nowm]

1. Точка с запятой необязательна, если выполняется только одна инструкция. В вашем случае её можно не писать, так как выполняется только одна инструкция «INSERT». Если инструкций несколько, то каждая инструкция обязательно должна заканчиваться точкой с запятой (кроме последней инструкции, кажется — там не обязательно).

2. Да, запрос правильный.

Тот запрос, который у вас был «как вариант», не будет работать, потому что вы пытаетесь нормальный PHP-шный NULL скопировать в строку. Там не появится слово «NULL» в итоге, так как вместо него подставится пустая строка. Итоговый запрос будет выглядеть примерно так:

INSERT INTO users (user_id, user_name, user_adddate) VALUES ('', 'user', '1404721764')

У вас здесь сразу две ошибки. Первая — вы передаёте значение NULL, а нужно передавать строку со словом «NULL». Вторая — вы пытаетесь сгененрировать строку так, что у вас слово «NULL» будет в SQL-запросе стоять в кавычках. В таком случае это для SQL-сервера будет считаться не значением «NULL», а строкой. Будет выдана ошибка, потому что у вас user_id — целочисленное, а вы пытаетесь в него писать строку. Правильнее будет так (разобью на строки для читаемости):

<?php
$insert_sql = sprintf("
    INSERT INTO users (user_id, user_name, user_adddate) 
    VALUES (%s, '%s', %d)
", 'NULL', $user_name, time());
?>

Со sprintf вы движетесь в правильном направлении. После этого вам будет легко понять принцип работы подготовленных запросов PDO, которые я вам советую использовать вместо mysql_*-функций.

<?php
/* 
 * Инициализация. Эту строку нужно писать там, 
 * где вы делаете mysql_connect. А сам вызов mysql_connect 
 * и прочего сопутствующего можно удалить.
 */
$db = new PDO('mysql:dbname=testdb;host=127.0.0.1', 'dbuser', 'dbpass');

// . . .

/* 
 * Вставляемые переменные заменяются знаками вопроса. Никаких кавычек
 * тут ставить не нужно — PDO сам поставит их в нужном месте.
 */
$sth = $db->prepare('INSERT INTO `users` (user_id, user_name, user_adddate) VALUES (NULL, ?, ?)');

/* 
 * Передача значений в запрос происходит в виде массива;
 * порядок элементов в массиве имеет значение. 
 * $user_name — первый элемент, значит его значение подставится 
 * на месте первого знака вопроса. time() — второй элемент, значит
 * его результат подставится вместо второго «?»
 */

$sth->execute( array($user_name, time()) );
?>

В запросе выше я добавил NULL прямо в строку, чтобы сильно не загоняться, так как для его добавления нужна дополнительная работа. С дополнительной работой это выглядит примерно так:

<?php 
// . . . 

$sth = $db->prepare('INSERT INTO `users` (user_id, user_name, user_adddate) VALUES (?, ?, ?)');

/*
 * Важный момент: нельзя писать
 * $sth->bindParam(1, NULL, PDO::PARAM_NULL);
 * Перед тем, как биндить NULL, его нужно присвоить переменной 
 * и биндить уже эту переменную. Иначе будут выскакивать ошибки.
 */
$null_value = NULL;
$sth->bindParam(1, $null_value, PDO::PARAM_NULL);

$sth->bindParam(2, $user_name, PDO::PARAM_STR);
$sth->bindParam(3, time(), PDO::PARAM_INT);

/*
 * Так как параметры уже переданы с помощью bindParam-ов,
 * в вызов execute не нужно ничего добавлять.
 */
$sth->execute();
?>

По поводу NOW() или CURDATE(). У вас выскакивает ошибка потому, что это не функции PHP. Это функции MySQL и их нужно писать в запросе как есть — они выполняются не в интерпретаторе PHP.

Как я понял, вы пытались что-то вроде этого делать:

<?php
$insert_sql = sprintf("
    INSERT INTO users (user_id, user_name, user_adddate) 
    VALUES (%s, '%s', %d)
", 'NULL', $user_name, NOW());
?>

А нужно так:

<?php
$insert_sql = sprintf("
    INSERT INTO users (user_id, user_name, user_adddate) 
    VALUES (NULL, '%s', NOW())
", $user_name);
?>

Так же, если вы добавляете user_adddate с помощью NOW() или CURDATE(), лучше для этого столбца изменить тип с bigint(20) на datetime.

Comments

[kamtm]

Спасибо большое за развернутый ответ. Я и сам был рад увидеть в книге такой код. Да, я понял ошибки, но в итоге возникли новые вопросы.
1) У меня есть поля, которых нет в форме Регистрации, но они есть в базе и будут доступны позже, в которые я хочу вставить значение 0. Читал, что это лучше, чем вставлять значение NULL?
2) Поле user_id можно вообще убрать из запроса INSERT?
3) Что будет лучше в моем случае использовать MySQL функцию NOW или TIME() в запросе? Или они равнозначны? Для человека, которому меньше проблем в дальнейшем)

В итоге такой код:
$insert_sql = sprintf("
INSERT INTO users (user_name, user_adddate, user_pole)
VALUES ('%s', NOW(),'%s')
", $user_name,0);

Или 0 в кавычки взять '0'? Что-то я этот момент читаю в вашем ответе, но понять не могу.

[nowm]

@kamtm

1. Это зависит от типа поля. Если оно имеет тип integer, то, возможно, есть смысл туда поставить 0. Если строка, то лучше пустую строку, потому что иначе получится строка «0» — это явно не пустая строка уже.

2. Да, user_id можно вообще убрать, так как без его указания оно будет автоматически присвоено сервером MySQL во время вставки.

3. Мне больше нравится вариант, когда user_adddate имеет тип datetime и при вставке просто заполняется с помощью MySQL-функции NOW(). В этом случае намного меньше мороки с дополнительными PHP-переменными.

4. В sprintf можно ноль указать и в кавычках и без. Он при подстановке приведётся к нужному типу. Например, если поставить %s, а в параметрах указать 0 без кавычек, как в вашем примере, то всё корректно обработается — никаких ошибок не будет. PHP умеет типы динамически подстраивать в зависимости от ситуации. Если ему нужна строка, он будет воспринимать число как строку. Если нужно число — будет воспринимать как число. В принципе, даже, если ему нужно будет строку «123 человека» считать числом, он её будет воспринимать как число «123». Иногда такое поведение удобно.

Для примера:

var_dump("123 men");
var_dump((int)"123 men");

[nowm]

* «123 of men», наверное, а не «123 men».

[kamtm]

@Xu4 спасибо за подробный ответ! Вам бы книгу советов новичкам написать:)

[nowm]

@kamtm нет, мне не интересно писать что-нибудь сильно объёмное. Книги, да и просто уроки, — не то же самое, что ответы на вопросы. Я когда на пенсию выйду — попробую, а сейчас — нееее. :)

[FanatPHP]

$sth-execute([NULL, $user, time()]); Можешь не благодарить :)

[nowm]

FanatPHP: я думаю, вычитать execute из $sth — не самая хорошая идея.

[nowm]

FanatPHP: но всё равно благодарю. Дополнять ответ не буду — всё же он уже принёс пользу человеку. Тем более, я его писал полгода назад, и нам обоим совершенно понятно, почему вы вдруг решили отписаться здесь.

[FanatPHP]

Это тоже узость мышления. Сайты типа тостера меньшую пользу приносят тому, кто задал вопрос, а куда большую - тем, кто приходит по поиску. Именно для этого - для поиска - такие сайты и делаются. А утирание соплей автору вопроса онлайн в режиме чата - это только повод. Так что улучшить ответ никогда не поздно.

[nowm]

FanatPHP: Согласен. Я узко мыслю. Ответ обновлять не буду.

Answer 2

[Rsa97]

Если Вы только изучаете PHP, то сразу откажитесь от использования функций mysql_*, они уже больше года в статусе deprecated. Используйте mysqli_* или PDO с параметризованными запросами.
По вопросам:
1. Точка с запятой не обязательны.
2. Для поля AUTO_INCREMENT значение указывать не надо, его автоматически генерирует сервер. Дату надо хранить в поле с типом DATE, DATETIME или TIMESTAMP, соответственно присваивать CURDATE() или NOW().

Comments

[kamtm]

Как тогда будет правильно выглядеть запрос? Если в запрос вставить NOW() или CURDATE() выходит ошибка: Fatal error: Call to undefined function CURDATE()

Answer 3

[Denis Morozov]

тут ошибка ещё раньше - вы руками составляете insert

используйте высокоуровневые обёртки

есть open source framework-и на пхп, посмотрите как они генерят запросы - там есть ответы на ваши вопросы, йоу

Answer 4

[Степан]

mysql_query("INSERT INTO users (user_id,user_name,user_adddate) VALUES ('',".$user_name.",".TIME().")");

Зачем вам sprintf не совсем понятно.