-1

我正在尝试在我的数据库中添加搜索选项,我创建了以下程序,但它在循环部分给了我一条错误消息,我无法理解为什么它没有转向 else 语句。请检查它并告诉我我在哪里犯了错误。

<?php
    require 'connect.php';
    if (isset ($_POST['username']))
    {
        $username = $_POST['username'];
        $query = "select * from users where username like '%$username%' ";

        if ($query_result = mysql_query($query))
        {
            $numrows = mysql_num_rows($query_result);
            if ($numrows > 1)
            {
                for ($i = 0; $i < $numrows; $i++)
                {
                    echo $query_result = mysql_result($query_result, $i, 'username');
                }
            }
            else
            {
                echo 'No Results Found!';
            }       
        }
        else
        {
            echo 'No Results Found!!';
            // echo mysql_error();
        }
    }
    else
    {
        echo 'Are you kidding with me !';
    }
?>

谢谢

4

3 回答 3

3

在你的循环内你正在做:

echo $query_result=     mysql_result($query_result,$i,'username');

这不加起来:你正在echho分配任务的结果。不仅仅是任何任务。您正在将 的返回值重新分配mysql_result给资源:$query_result。因此,在循环的第二次迭代中,mysql_result调用将失败。

也就是说,该mysql_*扩展名已弃用,不应再使用,请查看首选的替代扩展名,例如PDOor mysqli_*
您还可以while使用以下方法将循环重写为 -loop:

$out = '';
while($row = mysqli_fetch_assoc($query_result))
{
    $out .= $row['username'].'<br/>';
}

在您的查询中:
如果您只感兴趣的是用户名(从您的代码看来是这种情况), 而不是这样做SELECT *,它基本上选择与您的子句匹配的每一行的所有字段WHERE,为什么不简单地使用SELECT username. 这在您的数据库上更容易,并且不需要太多资源。

您的WHERE子句为username LIKE '%{$var}%',这意味着,如果输入为a,您的查询将返回包含a某处的所有用户名。除了不太安全之外,它也非常缓慢。您的查询很可能会执行全表扫描,可能需要 I/O 磁盘操作。要么like不使用%通配符以确保不区分大小写,要么使用单字符通配符_,或者如果需要,只使用一个%. 产生“superman”的用户名搜索“sup”比产生“dinnersupper”的相同搜索更有意义

最后,您的代码极易受到mysql-injection 攻击。如果我要发布用户名:'; DROP TABLE users; --,您的查询将如下所示:

select * from users where username like '%'; DROP TABLE users; -- %'

这意味着灾难,不是吗?

于 2013-07-02T06:15:13.223 回答
0

我更改了几行代码..我将您的循环更改为 while 循环..试试这个..

    if($numrows!=0)
    {
        while ($rs = mysql_fetch_array($query_result)){
          echo $rs['username'] . " <br>";
        }
    }

希望它有帮助...

于 2013-07-02T06:41:03.400 回答
0

您在循环中调用mysql_result并将查询资源替换$query_result为单元格的值。下一次调用$query_result将不再是有效资源。

注意:不确定您要做什么,因为您甚至不使用该值...只需删除分配即可。

于 2013-07-02T06:15:46.200 回答