使用 MySQLI 写入数据库

Question

我正在为我的一个朋友做一个项目，我们想在 mysqli 中编写我们的数据库调用。我是新手，我只使用了我知道此时已过时的 mysql 命令。我不断收到Call to a member function query() on a non-object on line 30，这是我的if ($mysqli->query($sql)) { 命令。谁能指出我正确的方向？我已经尝试在 W3 学校中查找它。这是我的完整代码：

// If the form is submitted, INSERT into table.
if (isset($_POST["submit"])) {

    // Define $username and $password.
    $username = $_POST['user_username'];
    $password = $_POST['user_password'];

    // Protect them from MySQL injection.
    $username = stripslashes($username);
    $password = stripslashes($password);
    $username = mysqli_real_escape_string($db, $username);
    $password = mysqli_real_escape_string($db, $password);
    $password = md5($password);

    // Run some queries.
        if ($_FILES["user_image"]["error"] > 0) {

            //Bad Output for form results red text
            echo "<font size = '5'><font color=\"#e31919\">Error: NO CHOSEN FILE <br />";
            echo"<p><font size = '5'><font color=\"#e31919\">INSERT TO DATABASE FAILED";

        } else {

            move_uploaded_file($_FILES["user_image"]["tmp_name"],"uploads/" . $_FILES["user_image"]);
            $file="uploads/".$_FILES["user_image"];
            $image_title = addslashes($_REQUEST['user_image']);
            $sql="INSERT INTO users (user_fname, user_lname, user_image, user_phone, user_cell, user_email, user_username, user_password) VALUES ('$_POST[user_fname]', '$_POST[user_lname]', '$_POST[user_image]', '$_POST[user_phone]', '$_POST[user_cell]', '$_POST[user_email]', '$username', '$password')";
            if ($mysqli->query($sql)) {
                die('Error: ' . $mysqli->error);
            }

            //Good Output for form results green text   
            echo '
             <form enctype="multipart/form-data" action="insert_image.php" method="post" name="changer">
                <div style="padding:10px;">
                    <h2 style="font-size: 28px;">Success!</h2>
                    <p style="font-size: 18px;">Your file has been successfully uploaded!</p>
                </div>     
            </form>';
        }
}

谢谢！

Answer 1

这是您的 VALUES 中的非对象 $_POST[user_image]，您在其他任何地方都使用了 $_FILES["user_image"]，但在您发布的代码中没有任何输入。我们在这里处理的是文件而不是文本输入。

即：<input type="file" name="user_image">

• 只有你知道。

另外，您需要使用您真正使用的连接变量，如果它是$db 或$mysqli，并且如果您成功连接到您的数据库，或者选择了正确的数据库和表。

• 同样，只有您知道。

然后这个：

$image_title = addslashes($_REQUEST['user_image']);

您应该使用$_FILES 而不是$_REQUEST，因为这意味着您可能在未显示的“其他”表单中使用 GET 方法。

参考：

• http://php.net/manual/en/features.file-upload.php

参考资料：

• http://php.net/manual/en/mysqli.query.php

• http://php.net/manual/en/function.mysqli-connect.php

• 如果使用PDO连接http://php.net/manual/en/pdo.error-handling.php

并使用适合您的连接的错误处理。请参阅下面我的编辑。

还要确保您要上传到的文件夹具有正确的写入权限。

将error reporting 添加到文件顶部，这将有助于查找错误。

<?php 
error_reporting(E_ALL);
ini_set('display_errors', 1);

// Then the rest of your code

旁注：显示错误应该只在暂存阶段完成，而不是在生产阶段。

也可以使用var_dump();，回显和查看您的 HTML 源代码是在调试过程中帮助您的附加工具。

• http://php.net/manual/en/function.var-dump.php
• http://php.net/manual/en/function.echo.php

---

补充说明：

如果您想将该数据作为二进制数据上传到表中，请确保您使用的是正确的类型。

如 TINYBLOB、BLOB、MEDIUMBLOB 和 LONGBLOB。

另一个“只有你知道”。

参考：

• http://dev.mysql.com/doc/refman/5.7/en/blob.html

---

正如马特在 cmets 中所说：

并且$file="uploads/".$_FILES["user_image"];应该改为$file="uploads/".$_FILES["user_image"]['name'];

将"uploads/" . $_FILES["user_image"] 的两个实例更改为"uploads/".$_FILES["user_image"]['name']

在move_uploaded_file()上查阅手册：

• http://php.net/manual/en/function.move-uploaded-file.php

---

密码。

我注意到您正在使用 MD5 作为密码散列函数。此功能不再被认为可以安全使用。

使用以下方法之一：

• CRYPT_BLOWFISH
• crypt()
• bcrypt()
• scrypt()
• On OPENWALL
• PBKDF2
• PBKDF2 on PHP.net
• PHP 5.5 的 password_hash() 函数。
• 兼容包（如果 PHP https://github.com/ircmaxell/password_compat/

其他链接：

• PBKDF2 For PHP

关于列长度的重要旁注：

如果并且当您决定使用password_hash() 或 crypt 时，请务必注意，如果您当前密码列的长度低于 60，则需要将其更改为该长度（或更高）。手册建议长度为 255。

您需要更改列的长度并使用新的哈希重新开始以使其生效。否则，MySQL 将静默失败。

---

编辑：

看到你的另一个问题：

• Display Blob Image and Title from MySQL Database in PHP

我注意到 PDO 语法 $row = $stmt->fetch(PDO::FETCH_ASSOC); 以及您与 mysql_ 函数 $image = mysql_query... 混合的地方。

这告诉我您可能仍在混合使用 MySQL API。如果您的连接是 PDO，那么您不能混合使用这些不同的 API。从连接到查询，您必须使用相同的。

在 Stack 上查阅以下内容：

• Can I mix MySQL APIs in PHP?

带有mysql_ 的 PDO - 无效
PDO 与 mysqli_ - 无效
mysql_ 与 mysqli_ - 无效

Answer 2

您的代码应该全部是面向对象的或全部是函数式的。您可以采用面向对象的方式：

$mysqli = new mysqli('dbhost', 'username', 'password', 'dbname');
// ...
$username = $mysqli->escape_string($username);
$password = $mysqli->escape_string($password);
// ...
$mysqli->query($sql);

或功能方式：

$mysqli = mysqli_connect('dbhost', 'username', 'password', 'dbname');
// ...
$username = mysqli_escape_string($mysqli, $username);
$password = mysqli_escape_string($mysqli, $password);
// ...
mysqli_query($mysqli, $sql);

请注意，从 PHP 7 开始，函数式语法现在已被弃用（我认为，找不到确切的版本）。请参阅mysqli::_construct 的文档以了解正确用法。

同样，mysqli_escape_string()/$mysqli->escape_string() 现在是
$mysqli->real_escape_string() 的别名，因此不再需要像旧的mysql 模块那样使用更长的形式。

最后，确保您在代码中实际实例化了$mysqli 变量。即使连接失败，您也没有理由遇到该特定错误。