Ошибка PDO при использовании значения данных POST в качестве параметра

У меня есть оператор SELECT, который я создаю через PHP и PDO, чтобы предоставить список пользователей, которые вошли в систему за последние XX минут. Когда я жестко кодирую интервал времени, оператор SQL выполняется нормально, но когда я пытаюсь заменить интервал, выбранный в веб-форме, я получаю ошибку SQL. Я не уверен, что не так. Я использую PDO и оператор PREPARE

try
{
    $sql = 'SELECT DISTINCT PlayerName 
        FROM Player_Data pd LEFT JOIN character_data cd 
        ON pd.PlayerUID = cd.PlayerUID 
        WHERE cd.LastLogin > DATE_SUB(NOW(), :login_interval_value)';
    $statement = $pdo->prepare($sql);
    $statement->bindValue(':login_interval_value',$_POST['login_interval']);
    $statement->execute();
    $results = $statement->fetchAll();
}
catch (PDOException $e)
{
    $error = 'Error getting player names: ' . $e->getMessage();
    include 'error.html.php';
    exit();
}

Это ошибка, которую я получаю...

Error getting player names: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''INTERVAL 60 MINUTES')' at line 4
Источник

2 ответа

Решение

Два исправления. Единица времени единственная (1). Другое - вам нужно, чтобы ваши данные для login_interval были равны количеству минут. Это совершенно законно:

DATE_SUB(NOW(), INTERVAL '60' MINUTE)

Это не правильно, и это то, что происходит, когда ваши данные поста представляют собой полное выражение интервала:

DATE_SUB(NOW(), 'INTERVAL 60 MINUTE')

Так что либо измените вашу форму так, чтобы $_POST['login_interval'] было просто количеством минут, либо извлеките число из нее. Предполагая, что вы измените свою форму, это то, что ваш код меняется на:

try
{
    $sql = 'SELECT DISTINCT PlayerName 
        FROM Player_Data pd LEFT JOIN character_data cd 
        ON pd.PlayerUID = cd.PlayerUID 
        WHERE cd.LastLogin > DATE_SUB(NOW(), INTERVAL :login_interval_value MINUTE)';
    $statement = $pdo->prepare($sql);
    $statement->bindValue(':login_interval_value',$_POST['login_interval']);
    $statement->execute();
    $results = $statement->fetchAll();
}

1 - https://dev.mysql.com/doc/refman/5.5/en/date-and-time-functions.html

Источник

Вы не можете использовать заполнитель для INTERVAL 60 MINUTES, это процитирует это.

Вам просто нужно привести значение в целое число (вместо номера сообщения).

$sql = 'SELECT DISTINCT PlayerName 
    FROM Player_Data pd LEFT JOIN character_data cd 
    ON pd.PlayerUID = cd.PlayerUID 
    WHERE cd.LastLogin > DATE_SUB(NOW(), INTERVAL '.(int)$_POST['login_interval'].' MINUTES)';
$statement = $pdo->prepare($sql);
$statement->execute();
$results = $statement->fetchAll();
Источник
Другие вопросы по тегам