PHP переменная строка в ИНЕКЕ MySQL

Question

Я имею проблему с этой простой SQL-запрос:

<?php 
require_once('../../Connections/tohoshows.php'); 

$show ='gothaf'; 

mysql_select_db($database_tohoshows, $tohoshows); 
$query_getShows = "SELECT * FROM toho_shows WHERE toho_shows.show =' ". $show. " '"; 
$getShows = mysql_query($query_getShows, $tohoshows) or die(mysql_error()); 
$row_getShows = mysql_fetch_assoc($getShows); 
$totalRows_getShows = mysql_num_rows($getShows); 

mysql_free_result($getShows); 
?> 

Когда я использую строку непосредственно в ИНЕКЕ как этот

$query_getShows = "SELECT * FROM toho_shows WHERE toho_shows.show ='gothaf'"; 

Я получаю результат. Когда я использую переменную, я не получаю никаких данных! Я новичок, и я не могу понять, что я делаю неправильно. Любая помощь будет оценена по достоинству. Спасибо!

Answer 1

вы не получая даты, потому что у вас есть дополнительное пространство betwee котировок,

$query_getShows = "SELECT * FROM toho_shows WHERE toho_shows.show =' ". $show. " '"; 
                    ^HERE ^

, которые затем будут анализироваться в

SELECT * FROM toho_shows WHERE toho_shows.show =' gothaf ' 

---

удалить его, и он будет работать

$query_getShows = "SELECT * FROM toho_shows WHERE toho_shows.show ='". $show. "'"; 

В качестве опоры q uery уязвим с SQL Injection, если значение (s) переменных произошло извне. Пожалуйста, ознакомьтесь с приведенной ниже статьей, чтобы узнать, как ее предотвратить. Используя PreparedStatements, вы можете избавиться от использования одинарных кавычек вокруг значений.

• How to prevent SQL injection in PHP?