Просто: передача PHP var в SQL завершается ошибкой запроса MySqli

Question

Просто: передача PHP var в SQL завершается ошибкой запроса MySqli

0

После прочтения stackoverflow в течение нескольких часов и попыток различных предложений, я не могу получить простой оператор sql для работы.

Я использую последний XAMPP localhost с Apache для PHP и MySQL.

-------------------Таблица---------------

id | имя | сделка |

1 | Дэвид | 1234В |

В PhpMyAdmin следующая переменная sql возвращает 1 строку. Однако переменная sql возвращает нефункциональный ресурс.

Я пробовал различные повторные компоновки оператора sql и синтаксиса для $mysqli-> query();

Я что-то пропустил в php.ini или что-то в этом роде?

$text = "here we have a long string of text with transaction ID: 1234V and some other stuff mixed in here.";

//lets cutup the string and only extract the transaction id
$array = explode("transaction ID: ", $text);

if (isset($array[1]))
    $array = explode("and", $array[1]);

$variable = $array[0]; //$array[0] = '1234V ';
$trans = "SELECT * FROM 'name' WHERE 'transaction' = '$variable';";

if($statement = $mysqli->prepare("$trans")){
    $statement->execute();
    $statement->bind_result($id,$name,$transaction);

    while ($statement->fetch()) {
        printf("%s %s\n",$id,$name,$transaction);
    }

    $statement->close();
}
$mysqli->close();
die();

Этот новый код с переменной $ напечатал это:

$trans = "SELECT * FROM 'name' WHERE 'transaction' = '$variable';";
mysqli_result 

Object ( [current_field] => 0 [field_count] => 3 [lengths] => [num_rows] => 0 [type] => 0 )

и новый код с жестким кодом напечатал это:

$trans = "SELECT * FROM 'name' WHERE 'transaction' = '1234V ';";
mysqli_result

Object ( [current_field] => 0 [field_count] => 3 [lengths] => [num_rows] => 1 [type] => 0 )

Chenelle 12 сен. 2018, в 21:59

Источник

0

В конце 1234V должно быть место?
iainn 12 сен. 2018, в 19:13
1

И есть ли пропущенное закрытие} для if ($mysqli->connect_error) { ?
Nigel Ren 12 сен. 2018, в 19:13
0

Если бы они были несбалансированными { тогда PHP-скрипт вообще не работал бы. Это было бы фатальной ошибкой при разборе файла и вернуло бы статус http 500. Я предлагаю вам проверить свой журнал ошибок.
Bill Karwin 12 сен. 2018, в 19:19
0

Да, в значении базы данных есть пробел.
Chenelle 12 сен. 2018, в 19:21
0

Если вы сделали небольшое количество чтения SO, вы должны знать, что выгрузка переменных в запрос к базе данных ужасно небезопасна. Используйте подготовленное утверждение, и это, вероятно, решит вашу проблему.
miken32 12 сен. 2018, в 19:28
0

Я обнаружил, что если я заменил $ trans = $ sent [variable] на $ trans = "1234V", оператор сработает. Поэтому я print_r ($ прошло), только чтобы увидеть $ прошло [переменная] = "1234V" я также проверю и изменю, чтобы использовать bind_param
Chenelle 12 сен. 2018, в 19:28
1

Примечание. Объектно-ориентированный интерфейс к mysqli значительно менее многословен, что облегчает чтение и аудит кода, и его нелегко спутать с устаревшим интерфейсом mysql_query . Прежде, чем вы слишком инвестируете в процедурный стиль, стоит переключиться. Пример: $db = new mysqli(…) и $db->prepare("…") Процедурный интерфейс является артефактом эпохи PHP 4, когда был представлен mysqli API, и его не следует использовать в новом коде.
tadman 12 сен. 2018, в 19:41
0

ВНИМАНИЕ : При использовании mysqli вы должны использовать параметризованные запросы и bind_param для добавления пользовательских данных в ваш запрос. НЕ используйте интерполяцию или конкатенацию строк для достижения этой цели, поскольку вы создали серьезную ошибку внедрения SQL . НИКОГДА не помещайте $_POST , $_GET или любые пользовательские данные непосредственно в запрос, это может быть очень вредно, если кто-то попытается использовать вашу ошибку.
tadman 12 сен. 2018, в 19:41
0

Когда вы говорите, что возвращает нефункциональный ресурс , это буквально то, что говорит выход, или это ваши слова. Возможно ли, что ваше соединение с базой данных не удалось?
ryantxr 12 сен. 2018, в 20:42
0

Он подключается и выводит это: объект mysqli_result ([current_field] => 0 [field_count] => 3 [lengths] => [num_rows] => 0 [type] => 0)
Chenelle 13 сен. 2018, в 01:05
0

если это переменная, то это должно быть $passed($variable) или если это ключ, то $passed['variable']
Rafee 13 сен. 2018, в 01:17
0

даже если я сгладить переменную / массив в $ variable = "1234V", использование переменной в sql приведет к 0 строкам.
Chenelle 13 сен. 2018, в 01:28

Показать ещё 10 комментариев

Теги:

php

mysql

sql

2 ответа

Ещё вопросы

И есть ли пропущенное закрытие} для if ($mysqli->connect_error) { ?
Если бы они были несбалансированными { тогда PHP-скрипт вообще не работал бы. Это было бы фатальной ошибкой при разборе файла и вернуло бы статус http 500. Я предлагаю вам проверить свой журнал ошибок.
Да, в значении базы данных есть пробел.
Если вы сделали небольшое количество чтения SO, вы должны знать, что выгрузка переменных в запрос к базе данных ужасно небезопасна. Используйте подготовленное утверждение, и это, вероятно, решит вашу проблему.
Я обнаружил, что если я заменил $ trans = $ sent [variable] на $ trans = "1234V", оператор сработает. Поэтому я print_r ($ прошло), только чтобы увидеть $ прошло [переменная] = "1234V" я также проверю и изменю, чтобы использовать bind_param
Примечание. Объектно-ориентированный интерфейс к mysqli значительно менее многословен, что облегчает чтение и аудит кода, и его нелегко спутать с устаревшим интерфейсом mysql_query . Прежде, чем вы слишком инвестируете в процедурный стиль, стоит переключиться. Пример: $db = new mysqli(…) и $db->prepare("…") Процедурный интерфейс является артефактом эпохи PHP 4, когда был представлен mysqli API, и его не следует использовать в новом коде.
ВНИМАНИЕ : При использовании mysqli вы должны использовать параметризованные запросы и bind_param для добавления пользовательских данных в ваш запрос. НЕ используйте интерполяцию или конкатенацию строк для достижения этой цели, поскольку вы создали серьезную ошибку внедрения SQL . НИКОГДА не помещайте $_POST , $_GET или любые пользовательские данные непосредственно в запрос, это может быть очень вредно, если кто-то попытается использовать вашу ошибку.
Когда вы говорите, что возвращает нефункциональный ресурс , это буквально то, что говорит выход, или это ваши слова. Возможно ли, что ваше соединение с базой данных не удалось?
Он подключается и выводит это: объект mysqli_result ([current_field] => 0 [field_count] => 3 [lengths] => [num_rows] => 0 [type] => 0)
если это переменная, то это должно быть $passed($variable) или если это ключ, то $passed['variable']
даже если я сгладить переменную / массив в $ variable = "1234V", использование переменной в sql приведет к 0 строкам.

Alex · Answer 1 · 2018-09-12T19-01-00.000Z

0

$trans = "SELECT id, name, transaction FROM 'name' WHERE 'transaction' = ? ;";

if($statement = $mysqli->prepare($trans)){
    echo 'Let\ check we are in? '.$passed['variable']."\n";
    $statement->bind_param("s", $passed['variable']);

    $statement->execute();
    $statement->bind_result($id, $name, $transaction);

    while ($statement->fetch()) {
        printf("FETCHED: %s %s %s\n", $id, $name, $transaction);
    }
    echo "Let check we are out? \n";
    $statement->close();
} else {
    echo $mysqli->error;
}
$mysqli->close();

Alex 12 сен. 2018, в 19:01

0

Я попробовал это секунду назад. Он не говорит об ошибке, однако mysqli не получает ресурс.
Chenelle 12 сен. 2018, в 20:20
0

вероятно, у вас просто нет данных для этой транзакции! :-)
Alex 12 сен. 2018, в 20:21
0

Когда я ввожу жестко запрограммированный «1234V», он все еще работает. Это не передаст переменную.
Chenelle 12 сен. 2018, в 20:22
0

проверьте обновление пожалуйста
Alex 12 сен. 2018, в 20:24
0

Это напечатало: давайте проверим, в каком мы? 1234V Давайте проверим, что мы вышли?
Chenelle 12 сен. 2018, в 20:29
0

Хорошо знать. Это означает, что ваш запрос выполнен, но результат пуст! Возможно, вы подключены к неверной базе данных ;-) Это происходит время от времени, когда вы работаете с несколькими тестовыми БД.
Alex 12 сен. 2018, в 20:38
0

Я проверил базу данных и сделал обновление на всякий случай. Первоначальная проблема заключается в том, что переменная не передает никаких результатов, но жестко закодированная строка возвращает полные результаты.
Chenelle 12 сен. 2018, в 20:51
0

Нет никаких доказательств того, что вы говорите. Когда вы жестко кодируете - вы жестко закодируете его в php-скрипте? Я думаю, нет, вы делаете это в phpMyAdmin. Поэтому для подтверждения вы можете изменить запрос в php на $trans = "SELECT id, name, transaction FROM `name`"; и закомментируйте строку bind_param . Так что вернет все записи, которые у вас есть. Давайте попробуем получить это без фильтрации.
Alex 12 сен. 2018, в 20:54
0

Я сделал вырезку и вставку из PHP: mysqli_stmt :: bind_result только для тройной проверки. Код надежный, а базы данных правильные, поэтому с моим XAMPP должно быть что-то не так.
Chenelle 12 сен. 2018, в 21:42

Показать ещё 7 комментариев

Gaspar · Answer 2 · 2018-09-12T18-58-00.000Z

Не могли бы вы попробовать что-то вроде этого:

$trans = "SELECT * FROM 'name' WHERE 'transaction' = ?";

Кроме того, я думаю, вы должны попробовать:

$statement = $mysqli->prepare($trans);
$statement->bind_param("s", $passed[variable]);
$statement->execute();
if(...

Пробовал это, те же пустые результаты и без ошибок.
Ох ... Я думаю, что вы должны связать. Я отредактирую ответ!