MySQL Query не распознает переменную PHP

Question

MySQL Query не распознает переменную PHP

0

Я работаю над запросом SQL, который выбирает результаты на основе внешнего ключа идентификационного номера пользователя и отображает результат, если в сопоставленной таблице есть какие-либо совпадающие записи. Когда я пытаюсь использовать переменную PHP в своем предложении WHERE, создается впечатление, что SQL-запрос вообще не распознает значение, даже если я печатаю переменную, там есть значение.

Я попытался изменить запрос с помощью "'. $variable.'" И '. $variable. ' '. $variable. ' '. $variable. ', но я все еще получаю тот же результат. Вот мой код:

$usernum = intval($_SESSION['usernum']);
$query = "SELECT * FROM dinosaurs WHERE UserNum = '$usernum'";

Когда я ввожу переменную вручную (например, "SELECT * FROM dinosaurs WHERE UserNum = '6'"; она работает, но когда я пытаюсь выполнить этот запрос, я получаю следующий результат:

SELECT * FROM dinosaurs WHERE UserNum = ''
returned 0 records.

Похоже, переменная просто показывает пустое значение в операторе SQL? Как мне заставить его распознавать значение переменной?

РЕДАКТИРОВАТЬ: РЕШЕНИЕ Я понял это! Это была глупая ошибка, когда я объявлял переменную внутри другой функции, а не глобально, поэтому я переместил объявление в правильную функцию следующим образом:

  // print_r($json);
  $usernum = intval($_SESSION['usernum']);
  }

Так что это говорит о том, что я должен уделять больше внимания своему собственному коду :)

Madelyn 25 апр. 2019, в 18:37

Источник

0

Возможно, ваша сессия не началась.
Qirel 25 апр. 2019, в 16:12
0

вы открыты для внедрения SQL и должны немедленно обратиться
treyBake 25 апр. 2019, в 16:12
0

@Qirel У меня есть скрипт, который проверяет существующий сеанс и перенаправляет его, если он еще не запущен, и это работает хорошо! И когда я запускаю это: `echo $ usernum`, он возвращает правильное значение.
Madelyn 25 апр. 2019, в 16:14
0

используйте параметризованные операторы для решения всех проблем построения запросов и защиты всей базы данных от утечки, предотвращая атаки с использованием SQL-инъекций . и проверьте фактическое содержание $usernum
Franz Gleichmann 25 апр. 2019, в 16:17
0

@FranzGleichmann Я запустил vardump($usernum) и он вернул int (6), что и должно быть. Я использую параметризованные операторы везде, где я использую пользовательский ввод в своих SQL-запросах, но для этого я не использую ничего из пользовательского ввода; необходимо ли использовать параметризованный оператор в этом сценарии?
Madelyn 25 апр. 2019, в 16:21
0

С любой переменной любого рода всегда используйте подготовленный оператор. Это спасет тебя от горя. Тем не менее, если вы выгружаете переменную непосредственно перед переменной запроса, а она не появляется в запросе, то вы делаете что-то еще, что нам не показывают. Это невозможно для чего-то еще. Смотрите 3v4l.org/rB6ub для демонстрации
Qirel 25 апр. 2019, в 16:35
0

Пожалуйста, добавьте решение в качестве ответа и примите его, чтобы другие могли видеть, как вы его решили :)
Alfabravo 25 апр. 2019, в 16:44
0

$query = 'SELECT * FROM dinosaurs WHERE UserNum = '.(int) $usernum;
A.Marwan 25 апр. 2019, в 16:56

Показать ещё 6 комментариев

Теги:

php

mysql

mysqli

1 ответ

Ещё вопросы

Возможно, ваша сессия не началась.
вы открыты для внедрения SQL и должны немедленно обратиться
@Qirel У меня есть скрипт, который проверяет существующий сеанс и перенаправляет его, если он еще не запущен, и это работает хорошо! И когда я запускаю это: `echo $ usernum`, он возвращает правильное значение.
используйте параметризованные операторы для решения всех проблем построения запросов и защиты всей базы данных от утечки, предотвращая атаки с использованием SQL-инъекций . и проверьте фактическое содержание $usernum
@FranzGleichmann Я запустил vardump($usernum) и он вернул int (6), что и должно быть. Я использую параметризованные операторы везде, где я использую пользовательский ввод в своих SQL-запросах, но для этого я не использую ничего из пользовательского ввода; необходимо ли использовать параметризованный оператор в этом сценарии?
С любой переменной любого рода всегда используйте подготовленный оператор. Это спасет тебя от горя. Тем не менее, если вы выгружаете переменную непосредственно перед переменной запроса, а она не появляется в запросе, то вы делаете что-то еще, что нам не показывают. Это невозможно для чего-то еще. Смотрите 3v4l.org/rB6ub для демонстрации
Пожалуйста, добавьте решение в качестве ответа и примите его, чтобы другие могли видеть, как вы его решили :)
$query = 'SELECT * FROM dinosaurs WHERE UserNum = '.(int) $usernum;

Madelyn · Answer 1 · 2019-04-25T16-04-00.000Z

Вот мой оригинальный код:

session_start();

if (isset($_SESSION['username'])) {
    $firstname = htmlspecialchars($_SESSION['firstname']); 
    $usernum = intval($_SESSION['usernum']);
    $username = $_SESSION['username'];
} else echo "<script> window.location.assign('uhoh.html'); </script>";
require_once 'connect.php';
require_once 'pretty_json.php';

submitQuery($conn, $json);

$conn->close();

Я объявил переменную $usernum в оригинальном операторе if, а не глобально. Поэтому, когда я попытался получить к нему доступ в функции submitQuery, для нее ничего не было установлено.

Чтобы решить эту проблему, я просто объявил переменную $usernum в начале функции submitQuery.