Number of variables doesn't match number of parameters in prepared statement

@Proffessional · Регистрация: 16.07.2009

Студворк — интернет-сервис помощи студентам

Собственно, код

PHP
1
2
3
4
5
$query = mysqli_prepare($db, "SELECT * FROM `users_db` WHERE `user_name`='?' || `e_mail`='?'");
mysqli_stmt_bind_param($query, 'ss', $name, $name);
$raw_data = mysqli_stmt_execute($query);
$data = mysqli_fetch_array($query, MYSQLI_ASSOC);
print_r($data);

Выводится сообщение из сабжа. Вопрос - что я делаю не так?
(не бейте сильно, я самоучка, и с базами только начал работать)

KOPOJI · 22.10.2012, 12:13

число переменных меньше чем параметров, их не видит

DrobyshevAlex · 22.10.2012, 12:14

апострофы зачем вокруг параметров? ты их в строки превратил

@Proffessional · 22.10.2012, 12:35 **[ТС]**

KOPOJI, да я это понял... Я не понял почему
DrobyshevAlex, спасибо! Я не знал что плейсхолдеры обходятся без кавычек. Если вставляются переменные, их нужно обрамлять)
Кстати, теперь мне выводится сообщение, что mysqli_stmt_execute($query) возвращает объект, а не результат запроса. Я этой конструкцией только начал пользоваться. Не подскажите, как получить резалт?

DrobyshevAlex · 22.10.2012, 12:42

Сообщение от Proffessional

Если вставляются переменные, их нужно обрамлять

Да ну? А если переменная - число? Обрамлять не нужно, хотя и можно. Просто будет не нужное приведение типов из строки к числу.

Отсюда и ответ на

Сообщение от Proffessional

Я не знал что плейсхолдеры обходятся без кавычек

если обрамлять в кавычки, а параметр число? То мы получим строку из него. А это не оптимизировано

Сообщение от Proffessional

что mysqli_stmt_execute($query) возвращает объект

http://php.net/manual/en/mysqli-stmt.execute.php
а тут написано что boolean

Сообщение от Proffessional

как получить резалт?

http://www.php.net/manual/en/mysqli-stmt.fetch.php

@Proffessional · 22.10.2012, 14:42 **[ТС]**

Сообщение от DrobyshevAlex

Цитата Сообщение от Proffessional Посмотреть сообщение
как получить резалт?
http://www.php.net/manual/en/mysqli-stmt.fetch.php

Не разобрался. он возвращает bool. Мне же нужно получить массив, как через mysqli_fetch_array().

DrobyshevAlex · 22.10.2012, 15:51

ну там же пример есть

PHP
1
2
3
4
5
6
7
    /* bind result variables */
    mysqli_stmt_bind_result($stmt, $name, $code);
 
    /* fetch values */
    while (mysqli_stmt_fetch($stmt)) {
        printf ("%s (%s)\n", $name, $code);
    }

@Proffessional · 22.10.2012, 18:40 **[ТС]**

DrobyshevAlex, какая-то хрень (я не вам, само собой

). Зачем нужно было создавать такую неудобную костылеобразную конструкцию, когда уже давно придуман обычный mysqli_fetch_array()? И нет никакого человеческого способа использовать вместе с stmt эту функцию?

Добавлено через 1 минуту
И как быть, если неизвестно количество колонок, выбранных бд? Как неудобно

DrobyshevAlex · 22.10.2012, 18:59

Ну юзай http://www.php.net/manual/en/m... result.php
Или юзай ООП стил вообще.
И научись пользоваться мануалом

@Proffessional · 23.10.2012, 00:29 **[ТС]**

DrobyshevAlex, в недоумении. После этой функции всё равно нужно разбирать чтобы получить нормальный массив. Как-то это допотопно, колхозно выглядит, и наверняка замедляет работу. Я снова что-то не так понял, или это действительно именно так работает?
И снова, что делать если я не знаю сколько колонок мне будет возвращено?

Может быть можно обойтись без stmt и чистить переменные как-то иначе? (знаю что можно, но качественных материалов по этому вопросу не нашёл)

Извините за такую "нубость", но я был бы очень благодарен за разъяснения...

Добавлено через 6 минут
Как было бы просто, если ли бы была возможность просто "Подготовить" строку и вставить её в обыкновенный mysqli_query.

Добавлено через 20 минут
Кстати, я оказываюсь прав! Вот статья на Хабре Защита от SQL-инъекций в PHP и MySQL

На практике это выглядит так: при вызове prepare() наш запрос едет на сервер прямо в таком виде — с плейсхолдерами/переменными, сервер его парсит и сигнализирует — «всё окей, готов принимать данные» (ну, или сообщает об ошибке). А затем, при выполнении execute(), на сервер едут уже данные (причём не в текстовом виде, а в бинарном пакете, по структуре напоминающем тот, в котором возвращается результат запроса), и участвуют уже непосредственно в выполнении.

В теории звучит очень заманчиво.
Однако на практике, к сожалению, в имеющихся библиотеках для работы с Mysql в PHP реализация работы с подготовленными выражениями ещё очень далека от идеала.
Достаточно привести такие, к примеру, факты:

Такая банальная возможность, как получение строки результата в массив (аналог mysql_fetch_array()), для запросов, использующих подготовленные выражения, была добавлена в mysqli только в версии в 5.3(!). До этой версии библиотека была практически неюзабельна без адовых извращений

Добавлено через 4 часа 43 минуты
Ну должно же быть решение...

DrobyshevAlex · 23.10.2012, 00:37

какое решение? чем вам не устаривает

PHP
1
2
3
$stmt->execute();
        $result = $stmt->get_result();
        while ($row = $result->fetch_array()) { ... }

то же что и mysql_fetch_array() все юзают а вам не подходит

При чём тут количество столбцов вообще? У вас что скрипт по количеству столбцов определяет какой шаблон выводить? Так переделайте, это не правильно. Когда выводят, обычно знают что выводят и где

@Proffessional · 23.10.2012, 00:40 **[ТС]**

Меня (возмущает) Необходимость перебора

PHP
1
while ($row = $result->fetch_array()) { ... }

Просто ->fetch_array возвращает bool. Почему так бредого сделано?
Ведь без stmt всё по-человечески...

DrobyshevAlex · 23.10.2012, 00:45

Сообщение от Proffessional

Просто ->fetch_array возвращает bool.

С каких пор? Вы вообще читаете ссылки что я кдиаю?
http://php.net/manual/ru/mysql... -array.php
Или просто предполагаете

Возвращаемые значения

Returns an array of strings that corresponds to the fetched row or NULL if there are no more rows in resultset.

Где тут про bool?

Сообщение от Proffessional

Меня (возмущает) Необходимость перебора

А как вы раньше выводили оО всегда в цикле выводили если записей много, а если одна просто без цикла присваивай.

PHP
1
2
3
4
where($row = mysql_fetch_array($result))
{
    // вывод
}

то же только в mysqli

PHP
1
2
3
4
where($row = mysqli_fetch_array($result))
{
    // вывод
}

вас смущает что на 1 букву писать больше?)

@Proffessional · 23.10.2012, 01:53 **[ТС]**

Я просто нецензурно замучился с этим stmt... Так сложно реализовывать такие простые вещи...
Здесь нашёл, пусть и не объяснение принципа, который я у stmt так и не уяснил, но хотя бы пример... Кстати, я спрашивал, а откуда я узнаю сколько запрос вернёт столбцов? Вот там об этом тоже написано

$stmt->bind_result по-моему самое слабое место класса mysqli_stmt, так как оно обязывает знать, какие именно данные будут получены из запроса и каком порядке они объявлены в запросе. Для случая “SELECT * FROM …” он вряд ли применим. Гораздо более гибкий подход в работе с результатом предлагает класс mysqli_result.

Я написал такой вариант, должен работать во всех случаях

PHP
1
2
3
4
5
6
$db = new MySQLi('localhost', 'imgswow', 'password', 'imgswow');
    $tmp = $db->prepare("SELECT * FROM users_db WHERE user_name=?");
    $tmp->bind_param('s', $name);
    $tmp->execute();
    $result_ = $tmp->get_result();
    $result = $result_->fetch_assoc();

в $result (уррррраааа!!!!) нормальный, человеческий массив... Не знаю как догадался, или как мог не догадаться... Я в 8 утра до 2 ночи над этим ломал голову

DrobyshevAlex, я понимаю, что уже замучил, но ещё вопрос (один) - это корректный код? Он обеспечит защиту от инъекции?

Не по теме:

Фууууууууффффф....

DrobyshevAlex · 23.10.2012, 01:57

Сообщение от Proffessional

Он обеспечит защиту от инъекции?

Да.

Сообщение от Proffessional

в $result (уррррраааа!!!!) нормальный, человеческий массив... Не знаю как догадался, или как мог не догадаться...

Зачем догадываться??? Там же примеры! И всё написано

А по поводу хабры, не всегда нужно верить написанному. Я как то читал про сравнения mysql и mongodb.
Так там такие противоречивые посты были, с точностью до на оборот

Каждый пишет как он понимает, и не всегда это правильно.

Новые блоги и статьи Все статьи Все блоги /
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .
Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	22.10.2012, 12:13
	число переменных меньше чем параметров, их не видит 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	22.10.2012, 12:14
	апострофы зачем вокруг параметров? ты их в строки превратил 1

@Proffessional Особый статус 743 / 145 / 6 Регистрация: 16.07.2009 Сообщений: 2,185 Записей в блоге: 1
	22.10.2012, 12:35 [ТС]
	KOPOJI, да я это понял... Я не понял почему DrobyshevAlex, спасибо! Я не знал что плейсхолдеры обходятся без кавычек. Если вставляются переменные, их нужно обрамлять) Кстати, теперь мне выводится сообщение, что mysqli_stmt_execute($query) возвращает объект, а не результат запроса. Я этой конструкцией только начал пользоваться. Не подскажите, как получить резалт? 0

@Proffessional Особый статус 743 / 145 / 6 Регистрация: 16.07.2009 Сообщений: 2,185 Записей в блоге: 1
	22.10.2012, 18:40 [ТС]
	DrobyshevAlex, какая-то хрень (я не вам, само собой ). Зачем нужно было создавать такую неудобную костылеобразную конструкцию, когда уже давно придуман обычный mysqli_fetch_array()? И нет никакого человеческого способа использовать вместе с stmt эту функцию? Добавлено через 1 минуту И как быть, если неизвестно количество колонок, выбранных бд? Как неудобно 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	22.10.2012, 18:59
	Ну юзай http://www.php.net/manual/en/m... result.php Или юзай ООП стил вообще. И научись пользоваться мануалом 0