0

我正在尝试使用一个简单的下拉列表查询我的数据库中的一些表,其中列出了表的名称。查询只有一个记录结果显示数据库中注册的最年轻的机构的名称和年龄!

$table = $_GET['table'];
$query = "select max('$table'.est_year) as 'establish_year' from '$table' ";

我需要将表的名称作为变量发送到查询器 php 文件。当我将变量名放在查询语句中时,无论方法是 GET 还是 POST,它都会给出错误:

“您的 SQL 语法有错误;请查看与您的 MySQL 服务器版本相对应的手册,以了解在 '.order) 附近使用的正确语法,作为来自 'customers'' 的 'last'”

4

2 回答 2

2

您将表名用单引号括起来,这不是有效的 SQL(这是字符串的语法,而不是表名)。您应该根本不包装名称,或者将其包装在反引号中(在美国键盘布局上,这是上面的键TAB)。

您也不应该引用别名established_year

select max(`$table`.est_year) as establish_year from `$table`

此外,您的代码容易受到 SQL 注入的影响。立即解决此问题!

更新(sql注入防御):

在这种情况下,最合适的操作可能是根据白名单验证表名:

if (!in_array($table, array('allowed_table_1', '...'))) {
    die("Invalid table name");
}
于 2012-06-23T11:24:52.573 回答
-1

单引号 ('),在 mysql 中,它表示字符串值。

SELECT *, 'table' FROM `table`;

演示

所以你的查询应该是

$table = $_GET['table'];
$query = "select max($table.est_year) as 'establish_year' from $table ";

另请阅读旧帖子,phpmyadmin sql apostrophe not working

您的代码也容易受到 SQL 注入的影响。你可以使用这样的东西

//Function to sanitize values received from the form. Prevents SQL injection

function clean($str) {
    $str = @trim($str);
    if(get_magic_quotes_gpc()) {
        $str = stripslashes($str);
    }
    return mysql_real_escape_string($str);
}

$firstName = clean($_POST['firstName']);
$lastName  = clean($_POST['lastName']);
.
.
.
于 2012-06-23T11:31:08.140 回答