0

我有这个查询,我可以对我的数据库运行它,它工作正常。但是,当我在PHP版本中尝试时,我得到 0 个结果。我错过了一些基本的东西,我只是不知道它是什么。

询问

SELECT * 
FROM table_admin_20
WHERE column1 =  '0607'

PHP

$store_info_query = "SELECT * FROM '".$table_name."' WHERE 'column1' = '".$store_number."'";

if ($query_run = mysql_query($store_info_query)) {
    if (mysql_num_rows($query_run) == NULL) {
        $response["success"] = 0;          
        echo json_encode($response);
        echo 'nope';
    } else {
        while ($row = mysql_fetch_assoc($query_run)) {
            $store_info = $row['column1'];
            echo '1111111';
            echo $store_info;           
        }       
    } 
} else {
    echo 'fail';
    }

我知道我对SQL注入的保护为 0,我只是在尝试提取数据,这还没有上线。无论如何,我每次都会得到“失败”的回应。谢谢你的帮助。

4

3 回答 3

4

不要事后添加安全性,只需切换到 PDO 或 mysqli 并使用准备好的语句,这样您就不必再担心这些值了。如果是表名或列名,您将需要使用白名单。

问题的原因是您引用了表名和字段名。如果您需要转义它们,请使用反引号:

$store_info_query = "SELECT * FROM `".$table_name."` WHERE `column1` = '".$store_number."'";
于 2013-06-17T22:09:51.390 回答
2

对于表名和列名,您必须将 ' 替换为 `。' 只是为了价值观。尝试这个:

$store_info_query = "SELECT * FROM `".$table_name."` WHERE `column1` = '".$store_number."'";

请避免使用 * 并重新考虑您的安全策略。如前所述,看看 PDO: http: //php.net/manual/en/book.pdo.php

于 2013-06-17T22:10:16.063 回答
2

您在表名和列名周围加上了错误的引号。尝试这个

$store_info_query = "SELECT * FROM `".$table_name."` WHERE `column1` = '".$store_number."'";
于 2013-06-17T22:11:33.170 回答