創建列時出現sql語法錯誤

Question

我試圖運行以下查詢，但我得到一個SQL語法錯誤，但Dreamweaver似乎沒有突出顯示任何錯誤，所以我不知道它在哪里？ 謝謝 ：-）

<?php
$form_id = $_POST[form_id];
    $query = mysql_query("
IF NOT EXISTS (SELECT * FROM INFORMATION_SCHEMA.COLUMNS
WHERE 
TABLE_NAME = 'email_history' 
AND COLUMN_NAME = `$form_id`)
BEGIN
 ALTER TABLE 'email_history' ADD `$form_id` VARCHAR( 255 ) NOT NULL
END;
") or die(mysql_error());
?>

Answer 1

看一下

‘$form_id`

你可能意味着

`$form_id`

更新：再一次錯誤的報價

'email_history'

應該

`email_history`

提醒：Backticks`用於限定符（tablenames等），其中apostroph '用於值。

Answer 2

這是正確的報價格式。

$query = mysql_query("
IF NOT EXISTS (SELECT * FROM INFORMATION_SCHEMA.COLUMNS
WHERE 
TABLE_NAME = 'email_history' 
AND COLUMN_NAME = '$form_id')
BEGIN
    ALTER TABLE `email_history` ADD `$form_id` VARCHAR( 255 ) NOT NULL
END;
") or die(mysql_error());

Answer 3

嘗試這個。

$form_id = $_POST[form_id];
$query = mysql_query("
  IF NOT EXISTS (SELECT * FROM INFORMATION_SCHEMA.COLUMNS
    WHERE 
    TABLE_NAME = 'email_history' 
    AND COLUMN_NAME = '$form_id')
  BEGIN
    ALTER TABLE `email_history` ADD `$form_id` VARCHAR( 255 ) NOT NULL
  END;
") or die(mysql_error());

另外，請注意，您不應該直接使用用戶輸入中的值到SQL中。 這是為了防止SQL注入。 以下是MySQL注入的一些鏈接，我發現：

http://www.php.net/manual/en/security.database.sql-injection.php http://25yearsofprogramming.com/blog/2011/20110205.htm https://www.owasp.org/index。 PHP / SQL_Injection_Prevention_Cheat_Sheet

Answer 4

<?php
$form_id = $_POST[form_id];
    $query = mysql_query("
IF NOT EXISTS (SELECT * FROM INFORMATION_SCHEMA.COLUMNS
WHERE 
TABLE_NAME = 'email_history' 
AND COLUMN_NAME = '$form_id')
BEGIN
 ALTER TABLE email_history ADD `$form_id` VARCHAR( 255 ) NOT NULL
END;
") or die(mysql_error());
?>

Answer 5

每個人都專注於糟糕的引用，但這個查詢是否有可能運行？ MySQL是否允許這樣的條件語句？ 我知道這在存儲例程中是可能的，但我從未聽說過這樣的直接用法，所以我將它分成兩個查詢：列存在檢查和表更改。

這將是這樣的：

<?php
$form_id = some_function_to_check_if_input_is_valid_etc($_POST[form_id]);
$exist_result = mysql_query("SELECT IF(NOT EXISTS(
    SELECT * 
    FROM    INFORMATION_SCHEMA.COLUMNS
    WHERE   TABLE_NAME  = 'email_history' 
    AND     COLUMN_NAME = '{$form_id}'
    ),1,0) AS should_alter_table
");
$row = mysql_fetch_assoc($exist_result);
if($row['should_alter_table']){
    mysql_query("ALTER TABLE email_history ADD `{$form_id}` VARCHAR( 255 ) NOT NULL");
}