INSERTING значения из одной таблицы в другую таблицу

Question

У меня есть этот код, чтобы выбрать все поля из таблицы «jobseeker», и с ним предполагается обновить таблицу «user», установив userType в «admin», где userID = $ userID (этот идентификатор пользователя принадлежит моей базе данных). Утверждение затем должно ВСТАВИТЬ эти значения из таблицы «jobseeker» в таблицу «admin», а затем удалить этого пользователя из таблицы «jobseeker». Таблицы sql прекрасны, и мои инструкции меняют userType на admin и принимают пользователя из таблицы «jobseeker» ... однако, когда я вхожу в базу данных (через phpmyadmin), администратор добавлен ни одной из деталей, , Может ли кто-нибудь пролить свет на это, почему $ userData не передает данные пользователя из таблицы «jobseeker» и вставляет их в таблицу «admin»?

Вот код:

<?php 

include ('../database_conn.php'); 

$userID = $_GET['userID']; 

$query = "SELECT * FROM jobseeker WHERE userID = '$userID'"; 
$result = mysql_query($query); 
$userData = mysql_fetch_array ($result, MYSQL_ASSOC); 
$forename = $userData ['forename']; 
$surname = $userData ['surname']; 
$salt = $userData ['salt']; 
$password = $userData ['password']; 
$profilePicture = $userData ['profilePicture']; 

$sQuery = "UPDATE user SET userType = 'admin' WHERE userID = '$userID'"; 

$rQuery = "INSERT INTO admin (userID, forename, surname, salt, password, profilePicture) VALUES ('$userID', '$forename', '$surname', '$salt', '$password', '$profilePicture')"; 

$pQuery = "DELETE FROM jobseeker WHERE userID = '$userID'"; 


mysql_query($sQuery) or die (mysql_error()); 
$queryresult = mysql_query($sQuery) or die(mysql_error()); 


mysql_query($rQuery) or die (mysql_error()); 
$queryresult = mysql_query($rQuery) or die(mysql_error()); 

mysql_query($pQuery) or die (mysql_error()); 
$queryresult = mysql_query($pQuery) or die(mysql_error()); 


mysql_close($conn); 


header ('location:  http://www.numyspace.co.uk/~unn_v002018/webCaseProject/index.php'); 

?> 

Answer 1

Во-первых, никогда не используйте SELECT * в некотором коде: он будет кусать вас (или кто-то должен поддерживать это приложение), если структура таблицы изменений (никогда не говори никогда).

Вы могли бы рассмотреть возможность использования INSERT, который принимает значения от SELECT непосредственно:

"INSERT INTO admin(userID, forename, ..., `password`, ...) 
    SELECT userID, forename, ..., `password`, ... 
    FROM jobseeker WHERE userID = ..." 

Вам не нужно идти через PHP, чтобы сделать это.

(Извиняюсь за помощью приведенного выше примера, который опирался на mysql_real_escape_string в более ранней версии этого ответа. Using mysql_real_escape_string is not a good idea, хотя это, вероятно, немного лучше, чем поставить параметр непосредственно в строку запроса.)

Я не уверен, какой MySQL-движок вы используете, но вам следует рассмотреть возможность делать эти заявления в рамках одной транзакции (вам понадобится InnoDB вместо MyISAM).

Кроме того, я бы предложил использовать mysqli and prepared statements, чтобы иметь возможность связывать параметры: это гораздо более чистый способ не избежать входных значений (чтобы избежать атак SQL-инъекций).

EDIT 2:

(Вы можете отключить волшебные кавычки, если они на.)

$userID = $_GET['userID']; 

// Put the right connection parameters 
$mysqli = new mysqli("localhost", "user", "password", "db"); 

if (mysqli_connect_errno()) { 
    printf("Connect failed: %s\n", mysqli_connect_error()); 
    exit(); 
} 

// Use InnoDB for your MySQL DB for this, not MyISAM. 
$mysqli->autocommit(FALSE); 

$query = "INSERT INTO admin(`userID`, `forename`, `surname`, `salt`, `password`, `profilePicture`)" 
    ." SELECT `userID`, `forename`, `surname`, `salt`, `password`, `profilePicture` " 
    ." FROM jobseeker WHERE userID=?"; 

if ($stmt = $mysqli->prepare($query)) { 
    $stmt->bind_param('i', (int) $userID); 
    $stmt->execute(); 
    $stmt->close(); 
} else { 
    die($mysqli->error); 
} 

$query = "UPDATE user SET userType = 'admin' WHERE userID=?"; 

if ($stmt = $mysqli->prepare($query)) { 
    $stmt->bind_param('i', (int) $userID); 
    $stmt->execute(); 
    $stmt->close(); 
} else { 
    die($mysqli->error); 
} 

$query = "DELETE FROM jobseeker WHERE userID=?"; 

if ($stmt = $mysqli->prepare($query)) { 
    $stmt->bind_param('i', (int) $userID); 
    $stmt->execute(); 
    $stmt->close(); 
} else { 
    die($mysqli->error); 
} 

$mysqli->commit(); 

$mysqli->close(); 

EDIT 3: я не понял ваш userID был int (но это, вероятно, так, как вы сказали, что он автоматически увеличивается в комментарии): отбросьте его к int и/или не используйте его как строку (т. е. с кавычками) в WHERE userID = '$userID' (но опять же, никогда не вставляйте свою переменную непосредственно в запрос, независимо от того, читаете ли вы из DB или параметр запроса).

Answer 2

Нет ничего явно неправильного в вашем коде (кроме того, что он небезопасен с использованием неэкранированных значений непосредственно из $ _GET).

Я предлагаю вам попробовать следующее для того, чтобы отладить:

1. var_dump $ USERDATA, чтобы проверить, что значения, как вы ожидаете
2. var_dump $ RQUERY и скопировать и вставить ее в PhpMyAdmin, чтобы увидеть если ваш запрос не как вы ожидаете

Если вы не нашли свою проблему, то пожалуйста, напишите обратно свои выводы вместе со структурой таблиц вы имеете дело с