Почему не выполняется запрос mysqli?

Question

[uranus235]

Вот имеется такой код:

$result = $mysqli->query("SELECT * FROM users WHERE social_id='$social_id'", MYSQLI_USE_RESULT);
	$num = $result->num_rows;
	
	if($num > 0){
		тут устанавливаются куки
	}else{
		$aquery = $mysqli->query("INSERT INTO users (social_id) VALUES ('$social_id')", MYSQLI_USE_RESULT) or die(mysqli_error($mysqli));
		
		if($aquery){
		   echo "okay";
		}else{
		   echo "oops";
		}
		
	}

При выполнении кода возвращается "Commands out of sync: you can't run this command now". Пытался погуглить, ничего не нашел :( Пожалуйста, объясните в чем проблема (только только начинаю изучать mysqli)

Answer 1

[Rsa97]

Нельзя выполнить подряд два запроса с MYSQLI_USE_RESULT. Необходимо сначала закрыть первый запрос через $result->free(). В вашем случае, если данные по запросу дальше не используются, то лучше использовать не num_rows, а COUNT(*).

Comments

[uranus235]

Я не знал про закрытие запросов в mysqli :( Нужно ли закрывать каждый запрос?

[FanatPHP]

Вить, я правильно понимаю, что это ты?

[Rsa97]

Желательно. При этом освобождается память, занятая запросом и на локальной машине и на сервере. Запрос и сам закроется по концу работы скрипта, но лучше всё-таки закрывать. Ну и лучше таки использовать параметризованные запросы (mysqli_prepare) или, на худой конец, обезопасить переменные через mysqli_real_escape_string. Иначе кто-нибудь может передать в запросе "'; DELETE FROM users;".

[uranus235]

@Rsa97: огромное спасибо, все по полочкам :)

[FanatPHP]

@Rsa97: mysqli_real_escape_string не "обезопашивает" данные! Вера в эту сказку - причина большинства инъекций. Предназначение этой функции совсем другое, к безопасности никакого отношения не имеющее.

[Rsa97]

@FanatPHP: Тем не менее, это гораздо безопаснее, чем прямая вставка полученных от пользователя значений.

[FanatPHP]

@Rsa97: не надо говорить ерунды :( mysqli_real_escape_string не делает данные безопасными. С натяжкой можно сказать, что кавычки ПЛЮС mysqli_real_escape_string делают. Но если уповать на одну только эту функцию, то инъекции гарантированы. Именно тем и хороши плейсхолдеры, что они делают полное форматирование, а не частичное - как эта функция

Answer 2

[Вячеслав Успенский]

Потому, что вы подготовили результирующий набор но не использовали. Перед следующим запросом поставьте free_result()

Comments

[FanatPHP]

Второй ответ, который рекомендует использовать free_result(). иногда мой мозг отказывается понимать мышление похапе программистов. Ну, то есть, он понимает, что оно строго линейное, но я не понимаю, как такое возможно.

Answer 3

[FanatPHP]

Проблема в пихании в код разных умных слов без понимания их смысла.
Если убрать из кода слово MYSQLI_USE_RESULT, то волшебным образом ошибка исчезнет.
Впрочем, я должен признать, что сермяжная правда в двух других ответах есть. Если последовать моему же совету, и использовать prepare/execute вместо query (поскольку эта парочка используе USE_RESULT без вариантов), то как раз и придется либо выбирать все данные, которые вернул запрос, либо освобождать ресурс через free(), либо перед выборкой дергать store_result().
Но - повторюсь - в текущем коде этот параметр не имеет смысла и в то же время является причиной всех бед.

Но проблемы этого кода на этом только начнутся.

Во-первых, НИКОГДА больше пиши так: die(mysqli_error($mysqli)); а то станешь козленочком и тебя заберут в армию.
Вместо die надо писать trigger_error()

Во-вторых, НИКОГДА не подставляй переменные напрямую в строку запроса. Передавать данные надо только через плейсхолдеры. Если родной механизм слешком сложный, то можешь воспользоваться библиотекой phpfaq.ru/safemysql и код получится таким.

$exists = $db->getOne("SELECT 1 FROM users WHERE social_id=?s",$social_id);
if($exists){
	//тут устанавливаются куки
}else{
	$db->query("INSERT INTO users (social_id) VALUES (?s)", $social_id); 
}

(выводить бессмысленные okay или oops не нужно)

Comments

[uranus235]

что ты пишешь мне тут с пеной изо рта, не можешь толком объяснять, проходи мимо

[FanatPHP]

@uranus235: Постарайся включить мозг :) Я понимаю, что ты привык только сказки читать и комиксы разглядывать. Но придется поднапрячься. Тут все понятно написано.

[uranus235]

@FanatPHP: фанатик, я-то включу, а вот тебе придется сначала достать мозги, прежде чем использовать их. ПОНЯТНО не значит ВЕЖЛИВО

[FanatPHP]

@uranus235: Вот это уже замечание по делу. Согласен, тон резковат самую малость. Но ведь и ты не маленькая девочка, чтобы всемто сути обращать все внимание на интонацию?

[uranus235]

@FanatPHP: нет, конечно, но вызывает некое раздражение

[Вячеслав Успенский]

Все правильно написал, только слишком эмоционально 8)
А если родной очень сложен то и браться лучше не надо. БД не то место куда нужно лезть всем подряд, хотя я денежку периодами получаю на фиксах за теми кто туда лезет без знаний)
А если родной код понимается то легко делается обертка: $db->getAll('query ? param text', $someVar);

[Владислав]

По моему все норм написано...не резко и не дерзко...просто кто-то цаца....