我有一个用concrete5制作的自定义块,它从数据库中获取所有工人的数组,并将其传递到视图中。这个块还使用了一个参数,该参数是在将块添加到页面中时给定的(它是WHERE sql语句的一部分,即parent_id=261)以下是我在块控制器中的函数:
public function view()
{
$db = new mysqli(WP_SERVER, WP_USERNAME, WP_PASSWORD, WP_DATABASE);
if($db->connect_errno > 0)
{
echo '<!-- Unable to connect to database [' . $db->connect_error . '] -->';
}
else
{
$SQL_ENTRIES = "SELECT * FROM `wp_posts` WHERE post_type = 'page' AND ".$query." order by replace(post_title,'£','LZ') asc";
if(!$entries_result = $db->query($SQL_ENTRIES))
{
echo '<!-- There was an error running the query [' . $db->error . '] -->';
}
else
{
$entries = array();
while($row = $entries_result->fetch_assoc()) $entries[] = $row;
$SQL_META = "SELECT post_id, meta_key, meta_value FROM wp_postmeta WHERE post_id IN (SELECT ID FROM `wp_posts` WHERE post_type = 'page' AND ".$query.")";
if(!$meta_result = $db->query($SQL_META))
{
echo '<!-- There was an error running the query [' . $db->error . '] -->';
}
else
{
$metas = array();
while($row = $meta_result->fetch_assoc())
{
if (!isset($metas[$row['post_id']])) $metas[$row['post_id']] = array ();
$metas[$row['post_id']][] = $row;
}
$updated_entries = array ();
foreach ($entries as $entry)
{
if (isset($metas[$entry['ID']]))
{
foreach ($metas[$entry['ID']] as $meta)
{
$entry[$meta['meta_key']] = $meta['meta_value'];
}
}
$updated_entries[] = $entry;
}
$this->set('updated_entries', $updated_entries);
}
}
}
}
在我的视图文件中:
$get = $updated_entries;
echo json_encode($get);
它没有列出任何内容,这很奇怪,因为当函数被放置在视图文件中时,它会正常地列出所有内容。有什么帮助吗?
我猜这是因为您的代码使用了$query
变量,但这在函数中没有定义。如果这段代码在视图文件中有效,那么我敢打赌$query
变量是在视图本身中设置的。或者可能是传递到数据库连接中的WP_SERVER
、WP_USERNAME
、WP_PASSWORD
和WP_DATABASE
常量?这些是从哪里来的?
附带说明:我真的希望这个$query
已经被正确地转义,以避免sql注入。如果你只是从$_GET或$_POST中提取一些参数,并将它们输入到$query
中,那么你就有了一个巨大的安全漏洞。