查询适用于sql，而不适用于php

Question

我有这个查询，我可以对我的数据库运行，它工作正常。 但是，当我在PHP版本中尝试时，得到0个结果。 我缺少基本的东西，我只是无法分辨它是什么。

询问

SELECT * 
FROM table_admin_20
WHERE column1 =  '0607'

的PHP

$store_info_query = "SELECT * FROM '".$table_name."' WHERE 'column1' = '".$store_number."'";

if ($query_run = mysql_query($store_info_query)) {
    if (mysql_num_rows($query_run) == NULL) {
        $response["success"] = 0;          
        echo json_encode($response);
        echo 'nope';
    } else {
        while ($row = mysql_fetch_assoc($query_run)) {
            $store_info = $row['column1'];
            echo '1111111';
            echo $store_info;           
        }       
    } 
} else {
    echo 'fail';
    }

我知道我对SQL注入有0保护，我只是想拉数据，这还没有实现。 无论如何，我每次都会收到“失败”响应。 谢谢你的帮助。

Answer 1

事后不要添加安全性，只需切换到PDO或mysqli并使用准备好的语句，这样您就不必再担心这些值了。 对于表名或列名，您将需要使用白名单。

问题的原因是您引用了表名和字段名。 如果需要转义，请使用反引号：

$store_info_query = "SELECT * FROM `".$table_name."` WHERE `column1` = '".$store_number."'";

Answer 2

您必须将表名和列名的`替换为`。 '仅用于价值。 尝试这个：

$store_info_query = "SELECT * FROM `".$table_name."` WHERE `column1` = '".$store_number."'";

请避免使用*并重新考虑您的安全策略。 如前所述，请看一下PDO： http : //php.net/manual/zh/book.pdo.php

Answer 3

您在表名和列名两边加上了错误的引号。 尝试这个

$store_info_query = "SELECT * FROM `".$table_name."` WHERE `column1` = '".$store_number."'";