smarty -sql查询-其中id子句是另一个查询的结果

Question

对于合作伙伴数据，我需要合作伙伴ID与合同结果中的pid对应。 我从合同数据中获得了查询结果，获得了合同数据，然后我需要partner.id成为contract.pid。 保存此错误时，出现以下错误：

查询失败：您的SQL语法有误； 检查与您的MySQL服务器版本相对应的手册，以在第3行的''附近使用正确的语法

require "$_SERVER[DOCUMENT_ROOT]/billing/server/Smarty/libs/Smarty.class.php";
require_once "$_SERVER[DOCUMENT_ROOT]/common/server/engine.php";

// required args 
$cbid = $_GET['cbid'];
//$smarty->force_compile = true;
$smarty->debugging = true;
$smarty->caching = true;
$smarty->cache_lifetime = 120;

// ------- contract data ------
$sql = "
SELECT *
FROM billing.contract_body
JOIN billing.contract_stub ON stub=contract_stub.id
WHERE contract_body.id=$cbid    

 ";
$result = mysql_query($sql) or die ("Query failed : " . mysql_error());
while ($contract = mysql_fetch_assoc($result))
 {
$value[] = $contract;
 }
$smarty->assign('contract', $value);




 // ------- partner data ------
$sql = "
SELECT *
FROM common.partner
    WHERE partner.id=$contract[pid] 

    ";
$result = mysql_query($sql) or die ("Query failed : " . mysql_error());
while ($partner = mysql_fetch_assoc($result))
 {
$value[] = $partner;

 }

Answer 1

存在一些可能的问题：

1）在php字符串中插入数组元素时，您可能应该使用{}。 我认为不同（较旧）的php版本在处理{}时不会有不同的处理（很难获得对较旧版本php的引用）。 该值很容易解释为''，这将导致sql错误。 您可以通过打印出正在执行的实际sql字符串来确认这一点-如果缺少该值，那就是问题所在。 我个人总是对每个表达式使用{}语法，而不是简单变量“ $ myvar”

2）$ contract [pid]可能无效。 pid将被解释为常量（DEFINE）（ 可以解析为“ pid”）。 我猜你是这个意思：$ contract ['pid']。 不幸的是，PHP文档在此方面并不一致-一些示例显示不带引号的用法，而某些部分明确指出了该问题：

“总是在字符串文字数组索引周围使用引号。例如，$ foo ['bar']是正确的，而$ foo [bar]不是正确的。但是为什么？在旧脚本中经常遇到这种语法：”

http://php.net/manual/en/language.types.array.php

3）最好在sql equals比较中将单引号引起来。 其中table.column ='value'; 根据所涉及的数据类型，它可能不起作用。

4）您的代码需要进行sql注入。 您正在使用$ _GET参数中的cbid值，而没有对其进行清理或使用查询参数。

所以试试这个：

“ ...其中partner.id ='{$ contract ['pid']}''”

并请修复您的SQL注入：）最好的方法是使用查询参数，这首先避免了字符串内插的大部分问题。 http://php.net/manual/en/mysqli.quickstart.prepared-statements.php