переменная $ не работает в SELECT

Question

переменная $ не работает в SELECT

1

Почему следующий оператор SELECT должен возвращать инструкцию else? и пустое эхо $ широты и $ долготы

$latitude = $_GET["lat"];
$longitude = $_GET["long"];
$pScan="";
$sql = "SELECT id, agent_name, address, url, latitude, longitude FROM enabled_boards WHERE latitude='$latitude' AND longitude='$longitude' ";
$result = mysqli_query($conn, $sql);
if (mysqli_num_rows($result) > 0) {
    while($row = mysqli_fetch_assoc($result)) {
        $id=$row["id"];
        $agent=$row["agent_name"];
        $address=$row["address"];
        $url=$row["url"];
        $latitude=$row["latitude"];
        $longitude=$row["longitude"];
        $pScan.='  <div id="wrapper">
        <a href="propertyDisp.php?id=' . $id . '" target="_self" >
  <div id="agentIdent"><img src="http://arpad.property/logos/' . $agent . '.jpg"></div>
  <div id="propertyIdent"><h3 align="right">' . $address . '</h3></div>
    </div></a>'; 

    }
}else{
$pScan="No results found,<br>please ensure the property is Arpad Enabled.";
}

Принимая во внимание, что значения SELECT для $ latitude и $ longitude с фактическими значениями из формы (lat & long) успешно заменяют правильные значения $ latitude и $ longitude, доказывая, что значения в форме (lat & long) корректно анализируются через 2 переменные.

Использование $ latitude & $ longitude в выражении SELECT ломает его, и я не понимаю, почему.

Спасибо за вашу помощь. Ян.

ФОРМА ДЕТАЛИ

 <form action="scanBoard.php" method="post" name="scanBoard" >
      <input type="text" id="lat" value="52.562292" /><br>
       <input type="text" id="long" value="-0.660871" /><br>
     <div id="boardBtn" class="blink"><input class="button" type="image" src="img/boardBtn.png" ></div></form>

* Значения были добавлены к входам для тестирования и будут удалены после устранения этой проблемы.

ИСПОЛЬЗОВАНИЕ $ latitude AND $ longitude в инструкции SELECT.

ИСПОЛЬЗОВАНИЕ 52.562292 И -0.660871 в инструкции SELECT.

Ian Pither 03 июнь 2015, в 14:22

Источник

0

Как примечание, у вас не должно быть данных от пользователя или доступных для пользователя, которые могут входить непосредственно в запрос без тщательной очистки ввода. Приведенный выше код является довольно серьезным случаем внедрения SQL.
eagle12 03 июнь 2015, в 11:59
0

Разместите форму часть тоже, где вы получали lat long значений
Narendrasingh Sisodia 03 июнь 2015, в 12:02
0

Я очень благодарен за вашу помощь, и я перепробовал все ваши решения, и ни одно из них не сработало. Если я заменим $ latitude на '52 .562292 'И $ longitude на' 0.660871 ', я получу ожидаемый результат и тестовый эхо-сигнал $ latitude и $ longitude также отображаются правильно и в точности соответствуют заменам.
Ian Pither 03 июнь 2015, в 12:10

Показать ещё 1 комментарий

Теги:

php

mysqli

2 ответа

1

Ваш запрос должен быть

$sql = "SELECT id, agent_name, address, url, latitude, longitude FROM enabled_boards WHERE latitude='" . $latitude. "' AND longitude='". $longitude ."'";

Sanath Ballal 03 июнь 2015, в 09:12

0

Я попробовал ваше решение, но все равно не радости :-(
Ian Pither 03 июнь 2015, в 12:22
0

Я надеюсь, что исправление запроса вместе с ответом, предложенным @saty для использования методов $ _POST, сработали для вас.
Sanath Ballal 08 июнь 2015, в 06:27

Ещё вопросы

Как примечание, у вас не должно быть данных от пользователя или доступных для пользователя, которые могут входить непосредственно в запрос без тщательной очистки ввода. Приведенный выше код является довольно серьезным случаем внедрения SQL.
Разместите форму часть тоже, где вы получали lat long значений
Я очень благодарен за вашу помощь, и я перепробовал все ваши решения, и ни одно из них не сработало. Если я заменим $ latitude на '52 .562292 'И $ longitude на' 0.660871 ', я получу ожидаемый результат и тестовый эхо-сигнал $ latitude и $ longitude также отображаются правильно и в точности соответствуют заменам.
Я попробовал ваше решение, но все равно не радости :-(
Я надеюсь, что исправление запроса вместе с ответом, предложенным @saty для использования методов $ _POST, сработали для вас.

Saty · Accepted Answer · 2015-06-03T10-40-00.000Z

1

Лучший ответ

Всегда создавайте запрос для предотвращения sql injection Имя столбца и имя таблицы находятся в backtick.

 $sql = "SELECT 'id', 'agent_name', 'address', 'url', 'latitude', 'longitude' FROM 'enabled_boards' WHERE 'latitude'='".$latitude."' AND 'longitude'='".$longitude."' ";

И всегда используйте mysqli_connect_errno чтобы проверить ошибку в запросе

if (mysqli_connect_errno())
  {
  echo "Failed to connect to MySQL: " . mysqli_connect_error();
  }

обновленный

Вы forget form name в input field

<input type="text" id="lat" value="52.562292" />
<input type="text" id="long" value="-0.660871" />

Это было бы

 <input type="text" id="lat" value="52.562292" name="lat" />
 <input type="text" id="long" value="-0.660871" name="long" />

И вместо метода GET

$latitude = $_GET["lat"];
$longitude = $_GET["long"];

Используйте метод POST, потому что вы используете method="post" так что это будет

$latitude = $_POST["lat"];
$longitude = $_POST["long"];

Saty 03 июнь 2015, в 10:40

0

Спасибо, Сати, у меня тоже есть заявление If, но я никогда не публиковал его, так как это не проблема, я попробовал ваше решение, но все равно не радуюсь :-(
Ian Pither 03 июнь 2015, в 12:22
0

какую ошибку вы получили, используя этот запрос ??
Saty 03 июнь 2015, в 12:25
0

Также оставьте свой код подключения!
Saty 03 июнь 2015, в 12:27
0

@ user2717917 проверьте обновленный ответ. И в этом преимущество публикации всего кода. МЫ НАХОДИМ, ЧТО ВЫ ПРОПУСКАЕТЕ ИМЯ В ФОРМЕНТЕ ЭЛЕМЕНТ
Saty 03 июнь 2015, в 13:02
0

Я не получаю сообщение об ошибке, потому что оператор else анализируется. Сати, пожалуйста, посмотрите 2 изображения, которые я разместил, так как он работает, но не работает с $ latitude & $ longitude в операторе SELECT, нет ничего плохого в соединении, с которым это чисто связано эти 2 $ переменные
Ian Pither 03 июнь 2015, в 13:04
0

опубликовать свой код подключения тоже !!
Saty 03 июнь 2015, в 13:06
0

Хорошо, я вижу пропущенное имя и добавил его, как вы и просили, но оно все равно не сработало. Посоветуйте, пожалуйста, как эхо отображает значение формы на странице обработки, если этот пропущенный элемент имени является проблемой? так как это происходит из 2 $ переменных, ясно, что значения попадают на страницу для обработки из формы.
Ian Pither 03 июнь 2015, в 13:10
0

okk print_t($_GET) и вставьте свой результат
Saty 03 июнь 2015, в 13:12
0

используйте $_POST['lat'] AND $_POST['long'] потому что вы используете method='post'
Saty 03 июнь 2015, в 13:14
0

@ user2717917 у тебя есть проблема ??
Saty 03 июнь 2015, в 13:18
0

print_t? print_r ($ _ GET) дает мне "array ()"
Ian Pither 03 июнь 2015, в 13:30
0

Вот в чем проблема: используйте $_POST['lat'] AND $_POST['long']
Saty 03 июнь 2015, в 13:30
0

@ user2717917. Вот почему мы говорим опубликовать свой полный код
Saty 03 июнь 2015, в 13:37
0

Спасибо за ваше терпение Сати У меня это работает сейчас, я действительно ценю это и принял ваш ответ, теперь все, что мне нужно сделать, это изменить запрос, чтобы он возвращал результаты, которые находятся в пределах 15 метров от 2 $ переменных. В очередной раз благодарим за помощь. С наилучшими пожеланиями, Ян.
Ian Pither 03 июнь 2015, в 13:41
0

пожалуйста @ user2717917 !! наслаждаться
Saty 03 июнь 2015, в 13:42
0

Не знаю, кто отдал голос. действительно ревнивые люди
Saty 03 июнь 2015, в 17:15

Показать ещё 14 комментариев