Почему не выводит текст из бд?

Question

[Владислав Долмат]

Не выводит текст, который берётся из БД. Подключение присутствует, ошибок в запросах нет, проверял через print_r(), всё заполнено.
Код запроса:

$u_r_name = $db->prepare('SELECT name FROM accounts WHERE mail="'.$_SESSION['mail'].'";');
$u_r_surname = $db->prepare('SELECT surname FROM accounts WHERE mail="'.$_SESSION['mail'].'";');

Код вывода:

<? if(empty($_SESSION['pid'])): ?>
						<div id="auth-block">
							<a href="/login" class="login-btn nav-desktop-menu-header">Войти</a>
							<a href="/registration" class="reg-btn nav-desktop-menu-header">Регистрация</a>
						</div>
					<? else: ?>
						<div id="account-info-block">
							<div class="dash-text" id="account-name"><? echo $u_r_name->execute() . ' ' . $u_r_surname->execute(); ?></div>
							
							<hr class="hr-mini" />
						</div>
					<? endif; ?>

Comments

[Arman]

если "print_r"ом проверить: $u_r_name->execute() ? =)

[Дмитрий]

Добрый вечер.
Для начала прекратите использовать короткие теги php, используйте полный вариант <?php и <?php echo или псевдоним echo <?=

[Владислав Долмат]

Дмитрий, я под конец техработ собираюсь массово заменить короткие теги обычными, но если это настолько важно, то заменю сейчас

[Владислав Долмат]

Arman, сейчас попробую

[Владислав Долмат]

Arman, чего и требовалось ожидать - выводит единицу...

[Дмитрий]

Владислав Долмат, надо с самого начала писать нормально, а не на потом оставлять.
Загляните в логи сервера, возможно в них есть ответ на Ваш вопрос.
Уровень ошибок включите "на всю"

[Sergey]

Так вы выполняете запрос, execute() возвращает 1 - все верно. Используйте fetchAll() для получения данных.

[Владислав Долмат]

Sergey, А можно ли для чтения использовать query()? Или даже так я буду под угрозой sql-инъекций?

[Sergey]

Владислав Долмат, вы итак под угрозой выполнения sql-инъекций,используя данные из сессии без какой либо проверки. А по поводу query почитайте https://www.php.net/manual/ru/pdo.query.php

[Владислав Долмат]

Sergey, спасибо за помощь)

Answer 1

[FanatPHP]

Какой ужас...

Или даже так я буду под угрозой sql-инъекций?

prepare само по себе не защищает от инъекций. От того что ты заменил слово query на слово prepare твои запросы защищеннее не станут.
чтобы prepare работало, его надо использовать правильно.

Про остальной код я вообще молчу. С чего ты решил что execute выводит какие-то данные? Зачем делать два запроса чтобы получить одну и ту же запись?

$stmt = $db->prepare('SELECT name, surname FROM accounts WHERE mail=?');
$stmt->execute([$_SESSION['mail']]);
$user = $stmt->fetch();
<div class="dash-text" id="account-name"><?= $user['name'] . ' ' . $user['surname'] ?></div>

Comments

[Владислав Долмат]

Благодарю за помощь, извиняюсь за свою неопытность, работаю с PHP недолго, потому и совершаю столь глупые ошибки.

Answer 2

[Юрий Кулаксыз]

execute возвращает 1 или 0, то есть true или false. Используйте query или лучше fetchAll() после execute и замените в самом sql-запросе данные из сессии на плейсхолдеры во избежание инъекций и уже в execute их вставляйте. Да и вообще, я бы советовал пересмотреть логику, довольно странно, что вы где-то составляете запрос а во вью обращаетесь к БД с помощью execute().