PHP проверяет, содержит ли таблица MySQL переменную

Question

Итак, я новичок в php, и я пытаюсь проверить, содержит ли таблица mysql переменную, заданную пользователем при поиске. Если таблица содержит переменную (это строка), то я хочу иметь возможность делать разные вещи в зависимости от ее существования.

Я также должен отметить, что я новичок в разработке php!

Это то, что у меня есть до сих пор;

$db = new mysqli('IP', 'username', 'password', 'database'); 

$result = $db->query("SELECT * FROM tablename WHERE ColumnName =  $searchVar"); 

if(empty($result)){ 
    //No result Found 
}else{ 
    //Found result 
} 

Answer 1

В запросе необходимо разместить одинарные кавычки около $searchVar.

$result = $db->query("SELECT * FROM tablename WHERE ColumnName = '$searchVar'"); 

Затем вы должны получить результаты запроса.

$result = $result->fetch_row(); 

Answer 2

Итак, ваш текущий запрос не удался, потому что ваша строка SQL не была в кавычках. Он также мог провалиться после ввода кавычек, если ваша строка PHP содержала в себе одну цитату. Именно так возникают SQL-инъекции, пользовательский ввод никогда не должен передаваться непосредственно в SQL-запрос. Для разделения этих задач есть подготовленные/параметризованные запросы.

Вот код, который, я думаю, должен работать для вас, но это непроверено, основано на руководствах.

$db = new mysqli('IP', 'username', 'password', 'database'); 
$stmt = $db->prepare('SELECT * FROM tablename WHERE ColumnName = ?'); 
$stmt->bind_param('s', $searchVar); 
$stmt->execute(); 
if($stmt->num_rows > 0) { 
    echo 'there are results'; 
} else { 
    echo 'there are no results'; 
} 

Ссылка нитку на предотвращающих инъекций: How can I prevent SQL injection in PHP?