Jak wpisywać zmienne $_SESSION w kwerendach php

Question

Siema, mam taką kwerendę, ale mi nie działa. Nigdzie w internecie, ani  w doc nie mogłem znaleźć jak prawidłowo wpisać zmienne do kwerendy, aby się ona wykonała. Proszę o podpowiedź

mysqli_query($conn, "INSERT INTO `rozmowa_nr_$_SESSION['id']` VALUES('$_SESSION['id']', '$_SESSION['nicky']')");

Z góry dzięki za każdą odpowiedź.

Answer 1

Co to znaczy "nie działa"? Mysqli rzuca błędy, wypada sprawdzić, co dostajemy.

Inna rzecz, że powinieneś używać prepared statements do wartości i intval​ w przypadku podstawiania do nazwy tabeli.

Na marginesie: baza jest źle zaprojektowana i trzymanie każdej rozmowy w innej tabeli jest bez sensu. Powinna być tabela zawierająca metadane rozmowy (kto z kim itd.) oraz tabela zawierająca wiadomości rozmowy, z kluczami obcymi dla identyfikatora użytkownika i identyfikatora rozmowy.

Answer 2

Użyłbym tu jakiegoś bindowania, dawno nie pisałem w php więc nie powiem co i jak w tym przypadku
Ale żeby podmieniało dajmy na to {id}, {nicky} na dane z $_SESSION['id'] i $_SESSION['nicky']
No i też coś takiego jest bezpieczniejsze, bo dodatkowo często w metodach bindujących, np bindParam
dodatkowo sprawdza ci, czy przypadkiem nie siedzi w środku jakieś sql injection

Comments

Nie da się bindować nazw tabel.

---

nie zauważyłem że przypisuje też do nazwy tabeli

ale (przynajmniej dla mnie) trochę średnią opcją może być osobna tabela dla każdej rozmowy
nie lepiej zrobić to na podstawie relacji?

w jednej tabeli rozmowy idRozmowy | osobyJakoJson | dodatkoweOpcjeJakoJson

w drugiej już same wiadomości
idWiadomości | idRozmowy | idOsoby | wiadomość

później pobierasz wszystkie wiadomości dla danej rozmowy
i na podstawie idOsoby wyświetlasz która osoba co napisała
ten system pozwala zarówno na rozmowy grupowe, jak i 1 z 1

osobyJakoJson warto trzymać, żeby mieć pewność, że dana osoba może wysłać wiadomość, do danej rozmowy
zamiast json można zrobić osobną tabelę, ja osobiście zrobiłbym jako json ze względu na prostotę i operacje na nie dużym tekście - ale tutaj specjalistą nie jestem, to nie będę się dużo wypowiadał

mniej więcej (napisane po polsku dla prostszego zrozumienia, nie polecam stosowania polskich nazw w rzeczywistych projektach, lepiej od razu budować nawyk pisania po angielsku)

---

Po co bindować zmienne, które nie pochodzą od użytkownika?

---

@OdsetekGlupoty id może nie pochodzi, ale już nick raczej tak. Poza tym lepiej przyjąć zasadę, że bindujemy wszystko – choćby dla spójności.

---

@marcin99b, osobyJakoJson? Trochę tego nie rozumiem, bo po co mam przesyłać dane w jsonie skoro mogę zrobić zwykły wpis nazw dwóch uzytkownków do dwóch kolumn. Bo rozumiem, że w kolumnie osobyJakoJson miałyby się znajdować nickname'y obu lub więcej rozmówców?

---

@Comandeer, Czyli dla zasady się binduje nawet zmienne, które nie pochodzą od usera?

To nie jest ironiczne, po prostu nie wiem

---

@Śwież4k, tylko trudno stwierdzić która osoba jest którą 
przynajmniej ja wolałbym sprawdzać czy json zawiera element z id użytkownika
niż czy jedna z kolumn (osobaA, osobaB, osobaC, osobaD itd) zawiera to id

nawet kiedy z rozmowy korzystać będą zawsze 2 osoby, to rozwiązanie nie wydaje mi się jakoś super, przynajmniej ze strony estetycznej 

if(userId == conversationUserA || userId == conversationUserB)

lepiej dać 

 

if(conversationUsers.DeserializeJson<Guid>().Contains(userId))
//albo po prostu
if(conversationUsers.Contains(userId))

Ale to tylko sposób, w jaki ja bym zrobił 

---

Czyli dla zasady się binduje nawet zmienne, które nie pochodzą od usera?

W sumie tak. A second level SQL injection tylko to potwierdzają ;)

@marcin99b dobre bazy danych mają typ array (np. PostgreSQL). Zresztą jak się odpowiednio pobawi, to da się to zrobić na poziomie samego zapytania. Inna rzecz: albo coś mi umyka, albo nie wiem, po co to kombinowanie, skoro każda wiadomość może mieć jednego autora? W tym wypadku konieczne jest wyłącznie id rozmowy, by móc ją całą złożyć do kupy.

Edit: dobra, widzę. W takim wypadku powstaje kolejna tabela, osobyWRozmowie ;)