Перебор строк в MYSQL-ответе (mysql_query / mysql_fetch_assoc), как сделать кошерно?

Question

[Arris]

В очередной раз занялся рефакторингом своего кода.

Всю жизнь писал так:

$request = @mysql_query($query); // да, я знаю, подавление ошибок таким методом плохо, но вопрос не в этом :)
        if ($request) {
           while ($row = mysql_fetch_assoc($request)) // PHPStorm рапортует тут!
            { ..... }

и горя не знал. И все работало. А тут мне PHPStorm рапортует на выделенной строчке.

Using assignments in conditional expressions may cause errors that a hard to detect and is therefore considered bad programming practice.

И я прекрасно понимаю, что это действительно bad programming practice. Но как это делают красиво и кошерно?

Нубский вопрос, я понимаю :)

Answer 1

[SilverSlice]

Вы же сами видите, что удобство работы с "голым" расширением mysql стремится к 0. Вам действительно нравится писать бесконечные mysql_real_escape_string и бегать циклами по результату запроса?

Если нет возможности внедрять PDO или другие обертки в свой legacy-код, следует написать свою, которую уже сейчас можно будет использовать. А нужно от неё совсем немного:

1. Удобство получения данных.
Вместо

$result = mysql_query($query);
if ($result) {
    $items = array();
    while ($row = mysql_fetch_assoc($result)) {
        $items[] = $row;
    } 
}

мне хочется использовать
$items = db_get_all($query);

2. Удобство подстановки данных в запрос.
Вместо

mysql_query("SELECT * FROM table WHERE field = '" . mysql_real_escape_string($one) . "' OR field2 = '" . mysql_real_escape_string($two) . "'");

мне хочется использовать

db_query("SELECT * FROM table WHERE field = ? OR field2 = ?", $one, $two);

Вот нашел свой старый wrapper, можете написать подобный и сильно облегчить себе работу.

Comments

[Arris]

Я посмотрю ваш враппер :)
Но внутри то db_get_all() как-то все равно же придется получать все строки запроса? :)
А с подстановкой данных в запрос insert или update и так используется хитрый враппер :)

[Arris]

Нравится / не нравится - это эмоциональная категория :)
Сплю и вижу как бы перевести весь движок на mysqli... почему сразу не сделал? Не до этого было. Но переводить его на mysqli - слишком уж дофига переписывать + лучше уж сразу все переписывать, поменяв заодно и всю архитектуру. Ибо есть что менять.

вопрос же касался именно bad coding practice

[SilverSlice]

Arris: Ваш "хитрый" враппер совершенно замечательно пропускает sql-инъекции. Очень советую почитать следующую статью и поблагодарить FanatPHP за то, что он все подробно разжевал.

Что касается bad practice, то тут её вообще нет.

[Arris]

SilverSlice: Спасибо за своевременное указание :) Сейчас исправим :) Я надеюсь, простого inval() будет достаточно? :)
Bad practice -- то есть PHPStorm врёт? :)

[SilverSlice]

Arris: Будет достаточно, только запросы на изменение данных нужно делать через POST.

Можете переписать код так:

$row = true;
while ($row) {
    $row = mysql_fetch_assoc($result);
    $items[] = $row;
}

Все тоже самое, но шторм не ругается. Bad practice не всегда возможно формализовать, IDE может попытаться указать вам на ошибки в коде, но не может предусмотреть всех возможных вариантов написания кода. В данном случае переменная $row за пределами условия не используется и ни к каким ошибкам не приведет.

[FanatPHP]

SilverSlice: не тупи :) что у тебя будет в итоге в $items?

[FanatPHP]

И не надо ему рекомендовать писать враппер самому. пусть бы сначала поучился пользоваться пдо и освоил подготовленные выражения. без них ведь любой его враппер превратится в решето.

[SilverSlice]

FanatPHP: я там специально if пропустил, чтобы никто не додумался копипастить этот прекрасный код :)

[Arris]

FanatPHP: я уже пробовал :D Запутался, понял, что пишу что-то не то и плюнул :D То что вы видите в коде - это как раз результат попыток написать враппер.
И, да, спасибо, я всерьез планирую использовать PDO в следующей версии движка (потому что за переписывание этой мне никто даже спасибо не скажет).

SilverSlice: без сомнения, прекрасный! :) Хм, а действительно, что будет в $items[]? :) Трехмерный массив с последним элементом n->FALSE. Или я ослеп и чего-то не вижу?

[Arris]

SilverSlice: ах да, StewardDB я даже ковырять не буду (сейчас точно, ибо лень), он используется в закрытой локалке... совсем закрытой, настолько, что доступ к определенному урл внутри сети разрешен со строго определенного IP.

[Arris]

SilverSlice: "Будет достаточно, только запросы на изменение данных нужно делать через POST."
Кстати, а почему? Почему inval() не будет достаточно при запросах типа /item.update.php?id=5&newvalue=10 ?

[SilverSlice]

Arris: Потому что post придуман именно для этих целей. Во-первых, длина get-запроса ограничена, а во-вторых, можете почитать про CSRF.

[FanatPHP]

в-третьих потому, что post придуман именно для этих целей.post изменяет информацию, get - получает. но к безопасности SQL это отношения не имеет.

[FanatPHP]

в StewardDB все свалено в кучу. надо разделять драйвер для работы с БД и веб-обортку для CRUD операций. В качестве драйвера лучше взять phpfaq.ru/safemysql - он решает большинство проблем с при работе с БД, оставляя на уровне приложения только запрос и данные, всю обработку делая внутри.

Answer 2

[FanatPHP]

- Больной перед смертью потел?
- Потел, доктор!
- Это хорошо.

Это очень смешной вопрос. Прочитав половину, я тоже наладился было объяснить про ПДО, но прочитав до конца, я снова, в который раз убедился, что читающий вопросы любителей РНР, над анекдотами не смеётся.

Вопрос звучит примерно так: "Доктор, вот у меня двустороннее восполение легких, тут гангрена правой ступни, здесь опухоль головного мозга. И ещё вот прыщик вскочил. Подскажите, как его вылечить. Нет, я понимаю, что от воспаления умирают. Меня это сейчас не волнует. мне бы прыщик."

И, традиционно же, у наших любителей с логикой так же плохо, как и с чувством юмора. Ведь, если озаботиться излечением конкретно этого прыщика, то переписывать его в половине кода придется всё равно. Ну так если все равно переписывать - почему не сделать сразу по-человечески? Но нет - "чего тут думать - тут прыгать надо!"

Comments

[Arris]

А ты можешь не троллить и отвечать нормально? К чему эта стена бесполезного словоблудия?

Всё переписывать или половину - две большие разницы, ага. Это первое. И второе - вот мне сейчас кто-нибудь нормальный и адекватный расскажет - как же это делают нормальные люди, а не всякие тролли типа тебя, а я возьму на замету и в следующий раз напишу нормально.

[FanatPHP]

:))) Ты так пишешь, как будто кому-то есть дело до того, будешь ты говнокодить, или нет.

[Arris]

FanatPHP: да, есть. Закону кармы. Не говнокодя, я сделаю мир чуть-чуть лучше.

[Arris]

FanatPHP: Да, в каждой шутке есть лишь ДОЛЯ шутки :D

[FanatPHP]

Чья бы корова мычала

[He11ion]

Хоть и троллинг, а верно, с таким кодом волноваться из-за предупреждения не стоит.

Answer 3

[Юрий]

Используй PDO.

Comments

[Arris]

Для этого придется переписать половину кода :) В следующей версии движка - обязательно. А сейчас я хочу наступить на строго определенные грабли :)

[Антон Шаманов]

Какой смысл использовать медленный PDO при наличии нормальной нативной библиотеки?

[FanatPHP]

Антон Шаманов: слишком толсто. Тебя скорее примут за дурака, чем оценят юмор :)

[DevMan]

Антон Шаманов: а то что нативная библиотека в деприкейте и может быть выпилина в любой момент не напрягает?

[Arris]

DevMan: меня не напрягает. Когда её выпилят (допустим её выпилят в ПХП 7.0) - хостеры на седьмой ПХП переползут через четверть вечности. Я к тому моменту новую версию движка написать успею, без deprecated-функций.

Сейчас я меня интересует конкретное поведение конкретных грабель, а не теоретические изыскания.

[DevMan]

Arris: мой комент был адресован другому.

[Arris]

DevMan: но напрямую затрагивает мой вопрос :)

[Arris]

Юрий: Ну, отлично. Читаю статью про PDO (m.habrahabr.ru/post/137664/):

while($row = $STH->fetch()) { ... }

чем это __логически__ отличается от того, что делаю я? :)

[Юрий]

habrahabr.ru/post/137664

[FanatPHP]

Он имеет в виду что в PDO есть fetchAll(). Но этот хелпер не может заменить ручной перебор в ряде случаев, так что наша изначальная "проблема" все равно остаётся. Статья по ссылке, кстати, чудовищная. Аффтар - редкий тупица.

[FanatPHP]

Юра, ты тупишь, кстати. Зачем давать ему ту же самую ссылку, которую он сам же и читает? :)

[Юрий]

FanatPHP: Не обратил внимания, сорри. Насчет мнения про автора - ничего конкретного сказать не могу тебе, наверное, виднее.

[Юрий]

FanatPHP: К тому же на методах fetch() и fetchAll() возможности PDO не заканчиваются, что в статье описано с примерами. И почему статья чудовищная? Лично сам текст не читал, так, по коду пробежался.

[FanatPHP]

ну например работа с исключениями там - ад. самые интересные константы FETCH_ не рассмотрены. много воды, куча идей, которые выглядят красиво в теории но неприменимы на практике.

Answer 4

[eldar_web]

А где же запрос $r?

Comments

[Arris]

Прошу прощения, конечно же должно быть mysql_fetch_assoc($request) :)

Answer 5

[Антон Шаманов]

Кошерно не писать код по пятницам. Можно преобразовать\заменить цикл, либо перейти на ООП подход, так легче отлавливать ошибки при работе с mysql.

Comments

[Arris]

Сегодня вторник, самое время для рефакторинга :)