SQL查詢語句中的PHP空格錯誤
[英]PHP blank space error in SQL query statement
問題描述
我的第一篇文章,所以請輕松:) 我已經在網站上搜索過這方面的幫助,但找不到任何對這種情況非常有用的東西。
我有一個使用 MVC 框架和 CodeIgniter 的簡單 PHP/HTML Web 應用程序,它允許用戶從 html 選擇多個框中選擇一家公司,然后使用 1 個匹配的 2 個表將信息(例如價目表信息)添加到 sql 數據庫外鍵。
如果公司名稱只有一個詞,則一切正常,但如果公司名稱的任何部分有空格,則會出現數據庫錯誤 1452。 從數據庫中獲取數據時,我使用 str_replace() 將 ' ' 替換為 ' ',反之亦然。 我復制了下面的錯誤消息和代碼。 如果有點亂,請見諒。
非常感謝任何幫助,已經看這個太久了:(
錯誤信息
A Database Error Occurred
Error Number: 1452
Cannot add or update a child row: a foreign key constraint fails (`custDB`.`RateCard`, CONSTRAINT `RateCard_ibfk_1` FOREIGN KEY (`id_comp`) REFERENCES `Company` (`id_comp`))
CALL add_rate('test agreement', '123456', '');
Filename: /home/user/NetBeansProjects/CCP/models/custDB/custdbmodel.php
Line Number: 112
第112行是下面add_rate()函數中的SQL查詢字符串
HTML 頁面視圖
<b>
<div>
<label for="Aggrement Link">Agreement Link</label>
<input type="input" name="createRateAggreement" /><br />
<label for="Intial Fee">Initial Fee</label>
<input type="number" name="createRateIntialFee" /><br />
<?php
echo "<select multiple=\"multiple\" name=\"createRateComp\">";
foreach($companies->result() as $row)
{
$tempCompName=$row->name_comp;
$tempCompName=str_replace(' ',' ',$tempCompName);
echo "<option value=$tempCompName>$tempCompName</option>";
}?></select><br><input type="submit" name="ubmit" value="Create New Rate Card" />
</div>
<?b>
模型函數
public function add_rate()
{
$rateAgreementIN=$this->input->post('createRateAggreement');
$rateIntialFeeIN=$this->input->post('createRateIntialFee');
$compNameIN=$this->input->post('createRateComp');
$compNameIN= str_replace(" ", " ", $compNameIN);
$temp=$this->custDBModel->getCompanyIDBYname_comp($compNameIN)->row();
$compIDIN=$temp->id_comp;
$query = $this->db->query('CALL add_rate(\''.$rateAgreementIN.'\', \''.$rateIntialFeeIN.'\', \''.$compIDIN.'\');');
$query->free_result();
}
public function getCompanyIDBYname_comp($compID)
{
$query=$this->db->query('CALL getCompanyIDBYname_comp(\''.$compID.'\')');
$output=$query;
while(mysqli_next_result($this->db->conn_id))
{
if($query = mysqli_store_result($this->db->conn_id))
{
mysqli_free_result($query);
}
}
return $output;
}
數據庫存儲過程 add_rate
CREATE DEFINER=`root`@`localhost` PROCEDURE `add_rate`(IN AGREEin varchar(255), IN INTIALFEEin double, IN IDCOMPin INT(11))
BEGIN
INSERT INTO RateCard (agreementLink_rate, date_rate, intialFee_rate, id_comp) VALUES (AGREEin, CURDATE(), INTIALFEEin, IDCOMPin);
END
@alex 這是 getCompanyIDBYname_comp 存儲過程
CREATE DEFINER=`root`@`localhost` PROCEDURE `getCompanyIDBYname_comp`(IN NAMEin varchar(55))
BEGIN
SELECT id_comp
FROM custDB.Company
WHERE name_comp=NAMEin;
END
3 個解決方案
解決方案1
0 2015-05-19 14:56:58
我的猜測是,您應該將getCompanyIDBYname_comp過程更改為:
CREATE DEFINER=`root`@`localhost` PROCEDURE `getCompanyIDBYname_comp`(IN NAMEin varchar(55))
BEGIN
SET @compName = NAMEin ;
PREPARE stmt FROM 'SELECT id_comp
FROM custDB.Company
WHERE name_comp = ? ;';
EXECUTE stmt USING @compName;
END
解決方案2
0 已采納 2015-05-20 15:26:21
能夠解決此問題...我在HTML選擇多個框選擇上使用了preg_replace(“ / [^ A-Za-z0-9] /”,'',$ string)方法,從中刪除了所有非字母數字空格用戶選擇的選擇,然后編輯SQL存儲過程以從db表的name_comp列中刪除所有空格以進行搜索。 這是一個變通辦法,但是應用程序能夠處理公司名稱,並在其中帶有空格,因此每個人都很高興。 謝謝您的幫助 :)
這是我對模型函數add_rate()所做的更改
$compNameIN= str_replace(" ", " ", $compNameIN);
- >
$compNameIN= preg_replace('/[^A-Za-z0-9 ]/','', $compNameIN);
和getCompanyBYIDcomp_name存儲過程
FROM custDB.Company
WHERE name_comp=NAMEin;
END
- >
FROM custDB.Company comp
WHERE replace(comp.name_comp, ' ', '' )= NAMEin
END
解決方案3
0 2021-10-12 19:30:36
確實需要使用 htmlspecialchars() 和引號來接受輸入字段中的值。
<input type="radio" id="html" name="txt1" value="<?php echo >
(htmlspecialchars($txt1)); ?>">
<label for="html"><?php echo $txt1?></label>;
PHP:在查詢中使用IN語句進行SQL注入預防時出錯
[英]PHP: Error when using IN statement in query with SQL injection prevention
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.