我有一个用于将搜索词设置为php变量VIA _GET的表单,例如,如果用户键入cat,则url会说?search = cat
这是将在SQL查询中使用的PHP变量
$search = 'CustomerAccountName LIKE '%' . $_GET['search'] . '%'';
当回显时,会产生CustomerAccountName LIKE'%cat%'这是有效的,并在使用查询编辑器时工作但是当我尝试将$ search变量放入php中的查询时我得到此错误
Warning: odbc_exec(): SQL error: [Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect
syntax near '&'., SQL state 37000 in SQLExecDirect
任何帮助将不胜感激
答案 0 :(得分:2)
只需使用简单的单引号。
$search = "CustomerAccountName LIKE '%".$_GET['search']."%';";
但是不要像这样构建你的查询。 Sanitize之前阻止SQL注入。
答案 1 :(得分:0)
$search = "CustomerAccountName LIKE '%" . $_GET['search'] . "%' ";