如何将php变量放入查询?
$shopid = $pdo->query('SELECT shopid FROM `shop` WHERE shopname='$shopname'')->fetchAll(PDO::FETCH_ASSOC);
这不起作用,错误消息显示: “解析错误:语法错误,意外'$ shopname'(T_VARIABLE)”
答案 0 :(得分:4)
否
不要以这种方式插入参数。您应该使用bindParam
$statement = $db->prepare('SELECT shopid FROM shop WHERE shopname=:shopname');
$statement->bindParam(':shopname', $shopname, PDO::PARAM_STR);
$statement->execute();
答案 1 :(得分:1)
如果$shopname来自不受信任的来源,那么您对SQL注入非常开放。要解决这个问题,你应该使用PDO和它准备好的语句API:
$query = $pdo->prepare("SELECT shopid FROM shop WHERE shopname = ?");
$query->bindValue(1, $shopname, PDO::PARAM_STR);
$query->execute();
$shopid = $query->fetchAll(PDO::FETCH_ASSOC);
答案 2 :(得分:0)
您没有正确包装查询。
$shopid = $pdo->query("SELECT shopid FROM `shop` WHERE `shopname`='$shopname'");
答案 3 :(得分:0)
如果您支持PDO,为什么不使用准备,它更安全。
$stmt = $pdo->prepare('SELECT shopid FROM shop WHERE shopname=:shopname');
$stmt->bindParam(':shopname', $shopname);
$shopname = $yourdefined;
$stmt->execute();
$stmt->bindColumn(1, $shopid);
while($stmt->fetch()){
echo $shopid,PHP_EOL;
}
好吧,你也可以像这样使用基本的sql:
$shopid = $pdo->query('SELECT shopid FROM `shop` WHERE shopname=\'{$shopname}\'')->fetchAll(PDO::FETCH_ASSOC);
答案 4 :(得分:-1)
'......' $ shopname。 '...'
使用point连接多个字符串
答案 5 :(得分:-2)
试试这个:
$ query =" SELECT shopid FROM shop WHERE shopname ='"。$ shopname。"'";
$ result = mysql_query($ query);