我目前正试图通过使用mysqli语句来阻止sql注入。但是,在完成此转换后,我不再从我的数据库中获得结果。我有一个表格,用户可以通过缩小年份间隔,一年中的月份和位置来选择经济数据。这是我目前的编码问题:
<?php
if (isset($_POST['submitted'])) {
$gYear = $_POST["year"];
$gYear2 = $_POST["year2"];
$gMonth = $_POST["month"];
$gSelect = $_POST["location"];
if ($gYear > $gYear2) {
die('ERROR: Your second year cant be a time period before the first year you selected');
}
else {
$query = $conn->prepare("SELECT $gSelect, Year FROM unemployed WHERE year BETWEEN ? AND ? and month= ?");
$query->bind_param('sss', $gyear, $gYear2, $gMonth);
$query->execute();
$result = = $conn->query($query)
echo"<table>";
echo "<tr><th>Year</th><th>Time</th><th>$gSelect</th></tr>";
while ($row = $result->fetch_object()){
echo "<tr><td>";
echo $row->Year;
echo "</td><td>";
echo $gMonth;
echo "</td><td>";
echo $row->$gSelect;
echo "</td></tr>";
}
echo "</table";
}
} // end of main if statement
?>
在我尝试更新查询以防止注入之前,它有效。我目前正在使用php 5.2.14来处理这个问题,以防你们想知道。我错过了一个声明吗?任何人都可以帮我弄清楚我的问题是什么吗?任何帮助将不胜感激。