我目前正在尝试通过使用 mysqli 语句来防止 sql 注入。但是,完成此转换后,我不再从数据库中获取结果。我有一个表格,用户可以通过缩小年份间隔、一年中的月份和位置来选择经济数据。这是我当前的编码问题:
<?php
if (isset($_POST['submitted'])) {
$gYear = $_POST["year"];
$gYear2 = $_POST["year2"];
$gMonth = $_POST["month"];
$gSelect = $_POST["location"];
if ($gYear > $gYear2) {
die('ERROR: Your second year cant be a time period before the first year you selected');
}
else {
$query = $conn->prepare("SELECT $gSelect, Year FROM unemployed WHERE year BETWEEN ? AND ? and month= ?");
$query->bind_param('sss', $gyear, $gYear2, $gMonth);
$query->execute();
$result = = $conn->query($query)
echo"<table>";
echo "<tr><th>Year</th><th>Time</th><th>$gSelect</th></tr>";
while ($row = $result->fetch_object()){
echo "<tr><td>";
echo $row->Year;
echo "</td><td>";
echo $gMonth;
echo "</td><td>";
echo $row->$gSelect;
echo "</td></tr>";
}
echo "</table";
}
} // end of main if statement
?>
在我尝试更新查询以防止注入之前,它起作用了。我目前正在使用 php 5.2.14 来解决这个问题,以防你们想知道。我错过了一个声明吗?谁能帮我弄清楚我的问题是什么?任何帮助将不胜感激。