Пустая строка передается $_POST по умолчанию. Почему?

Question

[Алексей Ермолаев]

Очень-очень прошу помочь. Принимаются любые предположения и гипотезы/Помогаю знакомым делать проект. Суть такова:
По заполненным полям формы на странице делается выборка в бд и достаются результаты.
Скрипт исполняется тут же на странице. По submit'у методом POST на странице вызывается функция fetchFlats(), возвращающая массив значений из базы.
Возникла проблема - форму не удается проверить на заполненность - текстовые инпуты оказываются заполненными пустыми строками при каждом вызове функции. То есть в поля еще ничего не введено, но массив с данными приходит. Дополнительный Header проблему не решил.
Подскажите, пожалуйста, как избавиться от этих пустых строк.
Очень-очень срочно нужно. Спасибо заранее

index.php, где и происходит действие:

<?php
	//Подключение библиотек
	require "inc/db.inc.php";
	require "inc/lib.inc.php";
	
	//header('Content-Type:text/html;charset=utf-8');
?>
<!doctype html>
<html>
    <head>
        <meta charset="utf-8">
        <title>База</title>
    </head>
    <body>
    	<div>
    	<fieldset legend="Укажите парпаметры выбора">
    		<form action="" method="post">
    			  <select name="city">
    			  		<option selected disabled>Выберите город</option>
    			  		<?
                          $cities = selectCity();
    			  		  foreach ($cities as $city) {?>
						<option value="<?=$city['ID_City']?>"><?=$city['Name']?></option>
    			  		<?}?>
    			  </select>
    			  <select name="metro">
    			  		<option selected disabled>Выберите метро</option>  
    			  		<?
                          $metros = selectMetro();
    			  		  foreach ($metros as $metro) {?>
    			  		<option value="<?=$metro['ID_Metro']?>"><?=$metro['Name']?></option>  	
    			  		<?}?>
    			  </select>
    			  <label for="area">
    			    Общая площадь
                    <input type="number" name="area_from" min="30" max="150"/>
                    <input type="number" name="area_to" min="30" max="150"/>
    			  </label>
    			  <label for="price">
    			    Цена
                    <input type="number" name="price_from"/>
                    <input type="number" name="price_to"/>
    			  </label>
    			  <button type="submit">Показать варианты</button>
    		</form>
    	</fieldset>
    	<table border="1" cellpadding="5" cellspacing="0" width="100%">
            <tr>
    			<? 
                  if(empty($_POST) ){
                    echo 'Введите данные для поиска!';
                  } else {
                    $flats = fetchFlats();
                    echo "<pre>";
                    var_dump($flats);
                    print_r($_POST);
                    echo "</pre>";
                    echo count($_POST);
                 }
    			?>  
    		</tr>
    	</table>
    	</div>
    </body>
</html>

Функция fetchFlats в подключаемом файле lib.inc.php: (чтобы хоть не совсем говнокод был)

function fetchFlats() {
		global $link;
		$where = '';
		if(isset($_POST['city'])){
			if (count($_POST) >= 1) {
				$where .= 'rc.id_city = '.$_POST['city'].' ';
			} else {
				$where .= 'rc.id_city = '.$_POST['city'];
			}
		}
		if(isset($_POST['metro'])){
			if (count($_POST) >= 1) {
				$where .= 'AND rc.id_metro = '.$_POST['metro'].' ';
			} else {
				$where .= 'rc.id_metro = '.$_POST['metro'];
			}
		}	
		if(isset($_POST['area_from']) && isset($_POST['area_to'])){
			if (count($_POST) >= 1) {
				$where .= 'AND f.total_area >= '.$_POST['area_from'].' AND f.total_area <= '.$_POST['area_to'].' ';
			} else {
				$where .= 'f.total_area >= '.$_POST['area_from'].' AND f.total_area <= '.$_POST['area_to'];
			}
		}
		if(isset($_POST['price_from']) && isset($_POST['price_to'])){
			if (count($_POST) >= 1) {
				$where .= 'AND f.cost >= '.$_POST['price_from'].' AND f.cost <= '.$_POST['price_to'].' ';
			} else {
				$where .= 'f.cost >= '.$_POST['price_from'].' AND f.cost <= '.$_POST['price_to'];
			}
		}
		$sql = "SELECT * 
				FROM flat f
				INNER JOIN building b ON f.id_building = b.id_building
				INNER JOIN residential_complex rc ON b.id_residential_complex = rc.id_residential_complex WHERE ".$where;

		if (!$result = mysqli_query($link,$sql)) {
			echo $where;
		} else {
			$items = mysqli_fetch_all($result, MYSQLI_ASSOC);
			mysqli_free_result($result);
			return $items;
		}
	}

После исполнения кода распечатываю $_POST:

Array
(
    [area_from] => 
    [area_to] => 
    [price_from] => 
    [price_to] => 
)

var_dump дает понять что на месте значений закралась пустая строка, соответственно, $_POST никогда не бывает пуст. Я уже весь мозг сломал, думая, как это побороть. Очень-очень нужна ваша помощь. Еще раз спасибо.

Answer 1

[Stalker_RED]

Введите что-нибудь в поля area_* или price_*, нажмите "Показать варианты".
Форма отправится, и там будут значения.

Попробуйте открыть новую страницу с этим адресом - увидите что $_POST будет пустым.

После этого можно выдохнуть, расслабиться, и отправиться читать учебник.

P.S.: И да, на счет "срочно нужно", это вы зря. Это всё придется потом или выбросить, или сильно-сильно переписать, потому что в этом коде дырок больше чем в шапке у почтальона Печкина. Любой десятилетний хакер сделает вашему сайту ат-ат-ат.

Comments

[Алексей Ермолаев]

Насчет переписать согласен, сам понимаю, что наговнокодил, это вообще не в продакшн, но это нужно сделать, а то людей подведу. Вы, кажется, не поняли сути вопроса. У меня при отправке пустой формы все поля по идее должны быть пустыми. Сейчас же при отправке пустой формы в массиве POST присутствуют в четырех параметрах пустые строки. Этого быть не должно. Если поля пустые, то параметры не должны быть isset, от этого зависит правильность построения строки sql-запроса.
Мне нужно чтобы этих пустых строк не было при отправке пустой формы. Вот/

[Stalker_RED]

Алексей Ермолаев:

Этого быть не должно.

Должно.

Замените свой if (isset($_POST['x'])) на if (!empy($_POST['x']))

[Алексей Ермолаев]

Менял, это не работает. Пустая строка является значением параметра и подставляется в sql-строку. То есть значение присвоено. А мне это не нужно.

[Stalker_RED]

Алексей Ермолаев: Нет.

empty(0); // true
empty(''); // true
empty('1'); // false
empty('abc'); // false

[Stalker_RED]

Алексей Ермолаев: Т.е. да, значение конечно присвоено, но оно пустое, и его можно отфильтровать.

[Алексей Ермолаев]

Проблема в том, что я не понимаю откуда оно берется и как его можно отфильтровать. Я уже вынес вызов функции в отельный файл, результат тот же. Параметры с пустыми строками попадают в POST

[Stalker_RED]

Алексей Ермолаев: Правильно, попадают.

[Алексей Ермолаев]

А как от этого избавиться? У меня то же самое происходит. Никогда еще с таким поведением не сталкивался

[Stalker_RED]

Алексей Ермолаев: Странно, что вы не сталкивались. Все современные браузеры делают это.
Можете удалять лишние данные на клиенте при помощи js, или фильтруйте ввод на сервере. Или не морочьте голову и используйте !empty() вместо isset()

[Алексей Ермолаев]

Да, теперь догадался использовать unset и empty, спасибо)

[Stalker_RED]

Алексей Ермолаев: unset хоть тут при чем?
Если вы не поняли, empty() не удаляет значения, это проверка типа isset().
Только isset вернет true если переменная существует, а для empty() важно не только существование, но и не пустое значение.

[Алексей Ермолаев]

unset нужен был чтобы удалить из поста пустые параметры

[Алексей Ермолаев]

у меня теперь новая боль - переписал функцию, теперь ошибки в sql запросе, сейчас напишу в ответе код:

Answer 2

[Алексей Ермолаев]

function fetchFlats() {
		global $link;
		$where = '';
		if(!empty($_POST['city'])){
			if (count($_POST) > 1) {
				$where .= 'rc.id_city = '.$_POST['city'].' ';
			} else {
				$where .= 'rc.id_city = '.$_POST['city'];
			}
		} else {//если пустой параметр то выкидываем
			unset($_POST['city']);
		}
		if(!empty($_POST['metro']))  {
			if (count($_POST) > 1) { //если параметров больше одного добавляем AND
				$where .= 'AND rc.id_metro = '.$_POST['metro'].' ';
			} else {//если один параметр
				$where .= 'rc.id_metro = '.$_POST['metro'];
			}
		} else {
			unset($_POST['metro']);
		}	
		if(  !empty($_POST['area_from']) ) {
			if (count($_POST) > 1) {
				$where .= 'AND f.total_area >= '.$_POST['area_from'].' ';
			} else {
				$where .= 'f.total_area >= '.$_POST['area_from'];
			}
		} else {
			unset($_POST['area_from']);
		}
		if(  !empty($_POST['area_to']) ) {
			if (count($_POST) > 1) {
				$where .= 'AND f.total_area <= '.$_POST['area_to'].' ';
			} else {
				$where .= 'f.total_area <= '.$_POST['area_to'];
			}
		} else {
			unset($_POST['area_to']);
		}
		if( !empty($_POST['price_from']) ) {
			if (count($_POST) > 1) {
				$where .= 'AND f.cost >= '.$_POST['price_from'].' ';
			} else {
				$where .= 'f.cost >= '.$_POST['price_from'];
			}
		} else {
			unset($_POST['price_from']);
		}
		if( !empty($_POST['price_to']) ) {
			if (count($_POST) > 1) {
				$where .= 'AND f.cost <= '.$_POST['price_to'].' ';
			} else {
				$where .= 'f.cost <= '.$_POST['price_to'];
			}
		} else {
			unset($_POST['price_to']);
		}
		$sql = "SELECT * 
				FROM flat f
				INNER JOIN building b ON f.id_building = b.id_building
				INNER JOIN residential_complex rc ON b.id_residential_complex = rc.id_residential_complex WHERE ".$where;

		if (!$result = mysqli_query($link,$sql)) {
			echo $where;echo "<br/>";
			var_dump($link);
		} else {
			$items = mysqli_fetch_all($result, MYSQLI_ASSOC);
			mysqli_free_result($result);
			return $items;
		}
	}

Результат получается неожиданный:

AND f.total_area >= 60  //распечатанный остаток строки запроса - переменная $where
Ошибка синтаксиса MySql //(это ожидаемо, когда после WHERE идет сразу AND)
//И самое главное - распечатанный пост:
Array
(
    [area_from] => 60
)
1 //кол-во параметров 1! Почему не выполняется вторая часть условия, и $where не идет      
   //без AND?

Получается что один больше единицы, это бред какой-то или такой косячный код, но я уже не могу увидеть что именно не так, может быть Вы поможете еще разок?

Comments

[Stalker_RED]

if(  !empty($_POST['area_to']) ) {
      if (count($_POST) > 1) {                    // что эта проверка делает?
        $where .= 'AND f.total_area <= '.$_POST['area_to'].' ';
      } else {
        $where .= 'f.total_area <= '.$_POST['area_to'];
      }
    }

[Алексей Ермолаев]

Она проверяет есть ли уже в массиве $_POST параметры. Если есть, мы к строке запроса добавляем AND. Если параметров нет, то тогда после WHERE идет строка без AND. Идея создать поиск по нескольким критериям, то есть должен быть заполнен один или несколько параметров массива. Если несколько, нам нужен AND.

[Stalker_RED]

Алексей Ермолаев:
вот набросал:

<?php 

function getIntFromPost($post_param_name){
	return filter_input(, INPUT_POST, $post_param_name, FILTER_VALIDATE_INT)
}

function fetchFlats() {
   global $link;
   $conditions = [];
   if($city_id = getIntFromPost('city')){
		$conditions[] = 'rc.id_city = '.$city_id;
   }
   if($metro_id   = getIntFomPost('metro')) {
		$conditions[] = 'rc.id_metro = '.$metro_id;
   }
   if($area_from  = getIntFomPost('area_from')) {
		$conditions[] = 'f.total_area >= '.$area_from;
   }
   if($area_to   = getIntFomPost('area_to')) {
		$conditions[] = 'f.total_area <= '.$area_to;
   }
   if($price_from = getIntFomPost('price_from')) {
		$conditions[] = 'f.cost >= '.$price_from;
   }
   if($price_to   = getIntFomPost('price_to')) {
		$conditions[] = 'f.cost <= '.$price_to;
   }
   if (empty($conditions)) $conditions[] = '1=1';
   $sql = "SELECT * 
      FROM flat f
      INNER JOIN building b ON f.id_building = b.id_building
      INNER JOIN residential_complex rc ON b.id_residential_complex = rc.id_residential_complex WHERE ".implode(' AND ', $conditions);

	echo "\n<pre>\n" . $sql . "\n</pre>\n"; // TODO: REMOVE THIS LINE (debug only)
	
	// с этим лень разбираться	
   if (!$result = mysqli_query($link,$sql)) {
		echo $where; echo "<br/>";
		var_dump($link);
	} else {
		$items = mysqli_fetch_all($result, MYSQLI_ASSOC);
		mysqli_free_result($result);
		return $items;
   }
}

Обратите внимание, насколько меньше кода. И на самом деле, это тоже говнокод.

[Алексей Ермолаев]

Да, все просто прекрасно, спасибо Вам большое!