LIKE оператор с переменной $

Question

Это мой первый вопрос здесь, и я надеюсь, что он достаточно прост, чтобы получить быстрый ответ!

В принципе, у меня есть следующий код:

$variable = curPageURL(); 
$query = 'SELECT * FROM `tablename` WHERE `columnname` LIKE '$variable' ; 

Если я эхо переменных $, она печатает URL текущей страницы (который является JavaScript на моей странице)

В конце концов, то, что я хочу , должен быть в состоянии выполнить поиск, для которого поисковый термин является URL текущей страницы, с подстановочными знаками до и после. Я не уверен, что это вообще возможно, или если у меня просто синтаксическая ошибка, потому что у меня нет ошибок, просто нет результата!

Я пробовал:

$query = 'SELECT * FROM `tablename` WHERE `columnname` LIKE '"echo $variable" ' ; 

Но опять же, я, вероятно, отсутствует или с помощью неуместны ", и т.д.

Пожалуйста, скажите мне, что я делаю неправильно

Answer 1

Ultimately, what I want, is to be able to make a search for which the search-term is the current page's url, with wildcards before and after.

SQL-символ подстановки является знаком процента. Поэтому:

$variable = curPageURL(); 
$variable = mysql_real_escape_string($variable); 
$query = "SELECT * FROM `tablename` WHERE `columnname` LIKE '%{$variable}%'"; 

Примечание: Я добавил дополнительный бит кода. mysql_real_escape_string() защитит вас от пользователей сознательно или случайно помещает символы, которые нарушат ваш SQL-запрос. Вам лучше использовать параметризованные запросы, но это более привлекательная тема, чем это простое исправление.

Также обратите внимание: я также исправил вашу строковую цитату. Вы можете использовать переменную непосредственно в строке, если эта строка имеет двойную кавычку, и вам не хватает цитаты в конце $query.

редактировать 17 января 2015: Просто получил upvote, так что с учетом этого, пожалуйста не использовать mysql_* функции больше.

Answer 2

Пожалуйста! не используйте это, оно уязвимо для SQL injection (this is a list of 138 StackOverflow questions you should read, absorb and understand prior to returning to your application). Используйте параметризованные запросы или хранимые процедуры.

Answer 3

Использование:

$query = "SELECT * FROM `tablename` WHERE `columnname` LIKE '{$variable}'" ; 

Чтобы получить представление о том, почему для предотвращения атак с внедрением SQL, как и выше, будет уязвим, я представить «Подвиги мама»:

Answer 4

Используйте двойные кавычки если вам нужно заменить значения переменных:

## this code is open for SQL injection attacks 
$query = "SELECT * FROM `tablename` WHERE `columnname` LIKE '$variable'"; 

Или Concat строку вручную:

## this code is open for SQL injection attacks 
$query = 'SELECT * FROM `tablename` WHERE `columnname` LIKE "' . $variable . '"'; 

Answer 5

Как почему вы не уведомлен о синтаксической ошибке: Вполне вероятно, что ваши настройки отчетов об ошибках настроены неправильно.

Открыть php.ini и убедитесь, что следующее установлено:

display_errors = On 

И:

error_reporting = E_ALL 

Answer 6

Ваш код уязвим для атак внедрения SQL. Данные, предоставленные пользователем, никогда не должны помещаться непосредственно в строку запроса SQL. Вместо этого сначала необходимо дезинфицировать функцию, такую ​​как mysql_real_escape_string().