переменной PHP в SQL запросе

Question

У меня есть это:

$result = mysql_query("SELECT * FROM animals WHERE hand= " .$_SESSION['SESS_HAND']. "); 

Но всегда показывает "Синтаксическая ошибка: ошибка разбора, ожидая T_STRING' or T_VARIABLE» или `T_NUM_STRING"

Answer 1

Всегда бежать строковые переменные:

$result = mysql_query("SELECT * FROM animals WHERE hand= '" . 
mysql_real_escape_string($_SESSION['SESS_HAND']). "'"); 

Answer 2

попробовать:

$result = "SELECT * FROM animals WHERE hand= " . $_SESSION['SESS_HAND']; 

mysql_query($result); 

Кроме того, делая это, вы можете отладить свой запрос и увидеть именно то, что он делает в SQL, написав:

echo $result; 

Answer 3

Причина ваш запрос does'nt работа, так как значение вашего WHERE is'nt между одинарные кавычки.

EDIT: Квентин тоже прав, вы не закрыли кавычки в последнем скобке;).

Это сделало бы работу запроса:

$result = mysql_query("SELECT * FROM animals WHERE hand= '" .$_SESSION['SESS_HAND']. "'"); 

Но как a1ex07 указывает, вы должны бежать переменные ВСЕГДА! Выше запрос уязвим для инъекций MySQL. В нижнем примере показан правильный путь, экранируя переменную и, на мой взгляд, немного лучше читаемый код;).

$query = "SELECT * FROM `animals` 
WHERE `hand` = '" .mysql_real_escape_string($_SESSION['SESS_HAND']). "'"; 

mysql_query($query); 

Answer 4

Это дает сообщение об ошибке, потому что вы никогда не закончить строку, которую вы пытаетесь добавить после данных сеанса: ");.

Не создавайте SQL-запросы, хотя вы можете сшить строки. Use prepared statements and parameterized queries.

Answer 5

Проблема:

$result = mysql_query("SELECT * FROM animals WHERE hand= " .$_SESSION['SESS_HAND']. "); 

Решение:

if (!$sessHand = mysql_real_escape_string($_SESSION['SESS_HAND'])) 
{ 
echo "There was a error: " . mysql_error(); 
} 
else 
{ $result = mysql_query("SELECT * FROM animals WHERE hand=$sessHand") }