[英]How to write MySQL query that uses a PHP variable?
如何將php變量放入查詢?
$shopid = $pdo->query('SELECT shopid FROM `shop` WHERE shopname='$shopname'')->fetchAll(PDO::FETCH_ASSOC);
這不起作用,錯誤消息顯示:“解析錯誤:語法錯誤,意外'$ shopname'(T_VARIABLE)”
沒有
不要以這種方式插入參數。 你應該使用bindParam
$statement = $db->prepare('SELECT shopid FROM shop WHERE shopname=:shopname');
$statement->bindParam(':shopname', $shopname, PDO::PARAM_STR);
$statement->execute();
如果$shopname
來自不受信任的來源,那么您對SQL注入非常開放。 要解決這個問題,你應該使用PDO和它准備好的語句API:
$query = $pdo->prepare("SELECT shopid FROM shop WHERE shopname = ?");
$query->bindValue(1, $shopname, PDO::PARAM_STR);
$query->execute();
$shopid = $query->fetchAll(PDO::FETCH_ASSOC);
您沒有正確包裝查詢。
$shopid = $pdo->query("SELECT shopid FROM `shop` WHERE `shopname`='$shopname'");
如果你支持PDO,為什么不使用准備,它更安全。
$stmt = $pdo->prepare('SELECT shopid FROM shop WHERE shopname=:shopname');
$stmt->bindParam(':shopname', $shopname);
$shopname = $yourdefined;
$stmt->execute();
$stmt->bindColumn(1, $shopid);
while($stmt->fetch()){
echo $shopid,PHP_EOL;
}
好吧,你也可以像這樣使用基本的sql:
$shopid = $pdo->query('SELECT shopid FROM `shop` WHERE shopname=\'{$shopname}\'')->fetchAll(PDO::FETCH_ASSOC);
'......' $ shopname。 '...'
使用point加入1個以上的字符串
嘗試這個:
$ query =“SELECT shopid FROM shop WHERE shopname ='”。$ shopname。“'”;
$ result = mysql_query($ query);
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.