插入数据从一个表到另一个表几乎工作

Question

我有两个表在我的数据库中，第一个表叫用户它包含： ID，名，姓，电子邮件，密码，散列，活动。

第二个表称为上市，它包含： USER_ID，USER_EMAIL，listing_id，listing_title，list_description，上市_公司，listing_city，listing_image。

我想确保当用户登录到网站并创建新的列表时，该列表将被ID和电子邮件识别。

所以基本上我想从繁重的ID和电子邮件是在用户表，并把它插入到USER_ID和USER_EMAIL列在上市表中的信息。

而我做到了，有点。

问题是，如果我登录到网站并创建列表，数据库将在列表表中显示错误的user_id和user_email。 因此，例如：

如果我以john@johndoe.com身份登录，用户ID为1，我将创建一个新列表，当我转到列表表格时，我可以看到user_id和user_email是不同的，它从最新的列拉在用户桌上，而不是用户是在实际登录数据。

希望我自己清楚。

下面是代码：

这是一个名为“新挂牌的functions.php”

<?php 
error_reporting(E_ALL); 
require 'db.php'; 

if(!isset($_SESSION)) { 
session_start(); 
} 



$result = $mysqli->query("SELECT * FROM users"); 
$query = "SELECT id, email FROM users"; 


if ($result = $mysqli->query($query)) { 
/* Fetch associative array */ 
while ($row = $result->fetch_assoc()) { 
    $user_id_from_users_table = $row['id']; 
    $user_email_from_users_table = $row['email']; 
} 
$result->free(); 
} 


$_SESSION['id'] = $_POST['user_id']; 
$_SESSION['email'] = $_POST['user_email']; 
$_SESSION['listing_title'] = $_POST['listing_title']; 
$_SESSION['listing_description'] = $_POST['listing_description']; 
$_SESSION['listing_country'] = $_POST['listing_country']; 
$_SESSION['listing_city'] = $_POST['listing_city']; 
$_SESSION['listing_image'] = $_POST['listing_image']; 


$listing_title = $mysqli->escape_string($_POST['listing_title']); 
$listing_description = $mysqli>escape_string($_POST['listing_description']); 
$listing_country = $mysqli->escape_string($_POST['listing_country']); 
$listing_city = $mysqli->escape_string($_POST['listing_city']); 
$listing_image = $mysqli->escape_string($_POST['listing_image']); 



$sql = "INSERT INTO listing (user_id, user_email, listing_title, 
listing_description, listing_country, listing_city, listing_image)". 
"VALUES('$user_id_from_users_table','$user_email_from_users_table', 
'$listing_title', '$listing_description', '$listing_country', 
'$listing_city', '$listing_image')"; 




    if($mysqli->query($sql)) { 
    $_SESSION['message'] = "Thank you for creating a listing " 
    .$_SESSION['firstname']; 
    //header("location: home.php"); 
} 



?> 

文件这是从页面代码的形式（“新上市.php'）：

<?php 

require 'db.php'; 
session_start(); 


if(!$_SESSION['logged_in']) { 
header("location: home.php"); 
} 

require 'head.php'; 


?> 

<?php 

if($_SERVER['REQUREST_METHOD'] = 'POST') { 
if(isset($_POST['post_listing'])) { 
    require 'new-listing-functions.php'; 
} 
} 


?> 



<body id="new-listing"> 



<div class="new-listing-container"> 
    <form action="#" method="post"> 
     <input type="hidden" name="user_id"> 
     <input type="hidden" name="user_email"> 
     <input type="text" name="listing_title" placeholder="Listing Title"> 
<br> 
     <textarea name="listing_description" id="" cols="30" rows="20" placeholder="Listing Description"></textarea> 
     <input type="text" name="listing_country" placeholder="Country"><br> 
     <input type="text" name="listing_city" placeholder="City"><br> 
     <input type="file" name="listing_image""><br> 
     <button name="post_listing">Proceed</button> 
    </form> 
</div><!-- new-listing-container --> 

</body> 
</html> 

在此先感谢您的帮助！

Answer 1

首先，您应该考虑使用预处理语句（查找mysqli::prepare或pdo），而不是尝试清理和转义输入。

除此之外，在您的insert中，您使用的是$user_id_from_users_table和$user_email_from_users_table来填充您的列表详细信息。

基于您的代码，您应该使用$_SESSION['id']和$_SESSION['email']代替，但这些都需要消毒，或者你需要切换到预处理语句你放在一个INSERT

原始post数据之前，这是因为$_user_*_from_users_table值期待就像他们是从字面上你的用户表中最后获得的值：

$result = $mysqli->query("SELECT * FROM users"); 
$query = "SELECT id, email FROM users"; 


if ($result = $mysqli->query($query)) { 
/* Fetch associative array */ 
while ($row = $result->fetch_assoc()) { 
    $user_id_from_users_table = $row['id']; 
    $user_email_from_users_table = $row['email']; 
} 
$result->free(); 
} 

话虽这么说，我有点困惑，这是什么是应该达到，或者你为什么想到这是任何形式的会话特定的数据？

Answer 2

在您的代码开始处，您正在从users表中选择所有数据，然后在其中循环，因此您的最终结果是最后一个条目。

您需要消毒用户输入的电子邮件和用户ID，然后使用WHERE参数在你的SELECT查询只取WHERE ID = $ ID和电子邮件= $电子邮件