sql查詢中的php變量

Question

我有這個：

$result = mysql_query("SELECT * FROM animals WHERE hand= " .$_SESSION['SESS_HAND']. ");

但總是顯示“解析錯誤：解析錯誤，需要T_STRING' or T_VARIABLE”或“ T_NUM_STRING”

Answer 1

總是轉義字符串變量：

$result = mysql_query("SELECT * FROM animals WHERE hand= '" .
mysql_real_escape_string($_SESSION['SESS_HAND']). "'");

Answer 2

您的查詢不起作用的原因是，您的WHERE值不在單引號之間。

編輯：昆汀也是對的，您沒有在最后一個括號中關閉引號;）。

這將使查詢工作：

$result = mysql_query("SELECT * FROM animals WHERE hand= '" .$_SESSION['SESS_HAND']. "'");

但是就像a1ex07指出的那樣，您應該始終對變量進行轉義！ 上面的查詢容易受到MySQL注入的攻擊。 下面的示例通過轉義變量顯示了正確的方法，我認為是可讀性更好的代碼;）。

$query = "SELECT * FROM `animals` 
WHERE `hand` = '" .mysql_real_escape_string($_SESSION['SESS_HAND']). "'";

mysql_query($query);

Answer 3

嘗試：

$result = "SELECT * FROM animals WHERE hand= " . $_SESSION['SESS_HAND'];

mysql_query($result);

另外，通過執行此操作，您可以調試查詢，並通過編寫以下代碼來確切了解SQL在SQL中的操作：

echo $result;

Answer 4

它給出該錯誤消息是因為您從未完成在會話數據之后嘗試添加的字符串： ");

但是不要通過將字符串混在一起來構建SQL查詢。 使用准備好的語句和參數化查詢 。

Answer 5

問題：

$result = mysql_query("SELECT * FROM animals WHERE hand= " .$_SESSION['SESS_HAND']. ");

解：

if (!$sessHand = mysql_real_escape_string($_SESSION['SESS_HAND']))
{ 
echo "There was a error: " . mysql_error();
}
else
{ $result = mysql_query("SELECT * FROM animals WHERE hand=$sessHand") }