PHP zmienne ciąg w WHERE MySQL

Question

Mam problem z tego prostego zapytania SQL:

<?php 
require_once('../../Connections/tohoshows.php'); 

$show ='gothaf'; 

mysql_select_db($database_tohoshows, $tohoshows); 
$query_getShows = "SELECT * FROM toho_shows WHERE toho_shows.show =' ". $show. " '"; 
$getShows = mysql_query($query_getShows, $tohoshows) or die(mysql_error()); 
$row_getShows = mysql_fetch_assoc($getShows); 
$totalRows_getShows = mysql_num_rows($getShows); 

mysql_free_result($getShows); 
?> 

Gdy używam ciąg bezpośrednio w klauzuli WHERE jak ten

$query_getShows = "SELECT * FROM toho_shows WHERE toho_shows.show ='gothaf'"; 

mogę dostać wynik. Kiedy używam zmiennej, nie otrzymuję danych! Jestem nowicjuszem i nie mogę zrozumieć, co robię źle. Każda pomoc będzie doceniona. Dziękujemy!

Answer 1

otrzymujesz żadnej daty, bo masz dodatkową przestrzeń betwee cudzysłowów,

$query_getShows = "SELECT * FROM toho_shows WHERE toho_shows.show =' ". $show. " '"; 
                    ^HERE ^

które następnie będą analizowane pod

SELECT * FROM toho_shows WHERE toho_shows.show =' gothaf ' 

---

usunąć go i będzie działać

$query_getShows = "SELECT * FROM toho_shows WHERE toho_shows.show ='". $show. "'"; 

Jako sidenote, q uery jest podatne na ataki z SQL Injection, jeśli wartość zmiennych (s) pochodzi z zewnątrz. Zapoznaj się z poniższym artykułem, aby dowiedzieć się, jak temu zapobiec. Używając PreparedStatements możesz pozbyć się pojedynczych cudzysłowów wokół wartości.

• How to prevent SQL injection in PHP?