Попытка использовать переменную php в выражении выбора SQL

Question

Попытка использовать переменную php в выражении выбора SQL

0

Я объединять 2 части кода, которые были написаны другими. На странице отображаются записи из базы данных mySql, и переменная, которую я пытаюсь использовать, уже отображается с использованием следующего кода:

<span class="headLeft"><?php echo cleanData($this->RECIPE->name); ?>:</span>

Оператор select sql пытается использовать поле имени для поиска.

SELECT 
  name
  , Round(Sum(i.calories)/1500*100,2) as calories
  , Round(Sum(protein)/525*100,2) as protein
  , Round(Sum(fat)/300*100,2) as fat
  , Round(sum(carbohydrate)/675*100,2) as carbohydrate
  , Round(sum(fiber)/30*100,2) as fiber
  , Round(sum(sugar)/375*100,2) as sugar
  , Round(sum(saturated_fat)/150*100,2) as saturated_fat
  , Round(sum(monounsaturated_fat)/150*2,2) as monsaturated_fat
  , Round(sum(Polyunsaturated_Fat)/150*2,2) as polyunsaturated_fat
  , Round(sum(cholesterol)/200*100,2) as cholesterol
  , Round(sum(sodium)/1300*100,2) as sodium
  FROM 'mr_recipes' r 
  left join ingredients i on r.id = i.recipeid

   where name = ($this->RECIPE->name)
group by name

Я не могу заставить переменную работать. Я не могу использовать $ name, и я пробовал обернуть его в одиночные и двойные кавычки.

2pourdrummer 06 дек. 2014, в 00:59

Источник

0

пожалуйста, упростите ваш вопрос и отформатируйте код в тегах кода
Rafael 05 дек. 2014, в 23:43
0

Извините, думал, что это читабельно
2pourdrummer 05 дек. 2014, в 23:46
0

Вы путаете SQL с PHP-кодом. Вы не можете определить переменную php в MySQL. Также вы вызываете переменную до того, как вы ее объявили. Для чего все это округление?
Rafael 05 дек. 2014, в 23:52
0

SET @calories = Round(Sum(i.calories)/1500*100,2) ; это то, как вы определяете переменную в MySQL, но вы должны обрабатывать свою арифметику в своем php.
Rafael 05 дек. 2014, в 23:54
0

Я предлагаю вам взглянуть на это: Таблицы Бобби: руководство по предотвращению внедрения SQL . В нем есть хорошее объяснение того, как использовать подготовленные операторы для передачи значений в SQL-запросы ... и это простое руководство о том, как предотвратить зло , когда вы делаете это.
Barranka 05 дек. 2014, в 23:54
0

Попробуйте сначала напечатать это $ this-> RECIPE-> name, а затем использовать его в своем запросе mysql
Always Sunny 06 дек. 2014, в 00:10
0

Во-первых, я не пытаюсь определить переменную в SQL, переменная уже определена. Я могу напечатать имя $ this-> Recipe->, и оно отображается правильно. Мне просто нужен синтаксис для использования переменной php в предложении where. Во-вторых, я ценю проблему SQL-инъекций, я постараюсь изменить ее. В-третьих, все примеры показывают использование $ variablename в операторе SQL, но это не работает. $ name не определено. Я не знаком со всеми именами переменных $ this-> Recipe-> name, но мне как-то нужно, чтобы она передавала уже определенную переменную, но не могу получить синтаксис.
2pourdrummer 06 дек. 2014, в 01:52
0

Вы не показали нам php-код, который вы используете в операторе SQL.
symcbean 06 дек. 2014, в 13:27
0

Я понял это, но я не знаю, является ли это лучшей практикой. Если я создаю переменную, такую как $ name = $ this-> Recipe-> name, то в предложении where оператора sql делать, где name = $ name, это работает.
2pourdrummer 07 дек. 2014, в 16:13

Показать ещё 7 комментариев

Теги:

php

sql

1 ответ

Ещё вопросы

пожалуйста, упростите ваш вопрос и отформатируйте код в тегах кода
Извините, думал, что это читабельно
Вы путаете SQL с PHP-кодом. Вы не можете определить переменную php в MySQL. Также вы вызываете переменную до того, как вы ее объявили. Для чего все это округление?
SET @calories = Round(Sum(i.calories)/1500*100,2) ; это то, как вы определяете переменную в MySQL, но вы должны обрабатывать свою арифметику в своем php.
Я предлагаю вам взглянуть на это: Таблицы Бобби: руководство по предотвращению внедрения SQL . В нем есть хорошее объяснение того, как использовать подготовленные операторы для передачи значений в SQL-запросы ... и это простое руководство о том, как предотвратить зло , когда вы делаете это.
Попробуйте сначала напечатать это $ this-> RECIPE-> name, а затем использовать его в своем запросе mysql
Во-первых, я не пытаюсь определить переменную в SQL, переменная уже определена. Я могу напечатать имя $ this-> Recipe->, и оно отображается правильно. Мне просто нужен синтаксис для использования переменной php в предложении where. Во-вторых, я ценю проблему SQL-инъекций, я постараюсь изменить ее. В-третьих, все примеры показывают использование $ variablename в операторе SQL, но это не работает. $ name не определено. Я не знаком со всеми именами переменных $ this-> Recipe-> name, но мне как-то нужно, чтобы она передавала уже определенную переменную, но не могу получить синтаксис.
Вы не показали нам php-код, который вы используете в операторе SQL.
Я понял это, но я не знаю, является ли это лучшей практикой. Если я создаю переменную, такую как $ name = $ this-> Recipe-> name, то в предложении where оператора sql делать, где name = $ name, это работает.

K4timini · Answer 1 · 2014-12-05T22-13-00.000Z

Взгляните на подготовленные заявления. Чтобы предотвратить SQL-инъекции, не объединяйте SQL-запрос и параметры.

Вы должны использовать PDO безопаснее.

Вот аналогичная проблема.