Совпадение с именем, содержащим апостроф в php

Question

Совпадение с именем, содержащим апостроф в php

У меня есть запрос, в котором я хочу сопоставить fname и lname

$result = $mysqli->query('SELECT * FROM user WHERE userId = "'.$_SESSION["userId"].'" AND FriendFirstName = "'.htmlentities($firstName, ENT_QUOTES,"UTF-8").'" AND FriendLastName = "'.htmlentities($lastName, ENT_QUOTES,"UTF-8").'"   AND   FriendStatusCode="verified" AND friendId!='.$fid.' AND ViewableRow <> "0" ')  or die($mysqli->error);
echo 'SELECT * FROM user WHERE userId = "'.$_SESSION["userId"].'" AND FriendFirstName = "'.htmlentities($firstName, ENT_QUOTES,"UTF-8").'" AND FriendLastName = "'.htmlentities($lastName, ENT_QUOTES,"UTF-8").'"   AND   FriendStatusCode="verified" AND friendId!='.$fid.' AND ViewableRow <> "0" ';

Если у меня есть имя John'y, то оно не дает никакого результата, оно не возвращает строк, я повторяю запрос, и если я выполняю тот же запрос, я получаю результат в моем sql.

Выход становится таким


SELECT * 
FROM user_friend_detail
WHERE userId = "9306" AND FriendFirstName = "Aa\'tid"
AND FriendLastName = "Kenddy" 
AND FriendStatusCode="verified" AND friendId!=9366 AND ViewableRow  "0"

и он возвращает строку в MySQL. У меня отключены магические кавычки, я предположил, что это очень простая проблема, но она потратила много времени.

The FNAME is Aa'tid
The lname is Kenddy

я что-то пропустил?

0

php sql mysql magic-quotes-gpc mysql-escape-string

Источник

18 дек '13 в 13:56

1 ответ

Решение

Другие вопросы по тегам php sql mysql magic-quotes-gpc mysql-escape-string

user1162777 18 дек '13 в 19:18 2013-12-18 19:18 · Accepted Answer · 2013-12-18 19:18

Поскольку в комментариях мы обсуждали переход к подготовленным утверждениям, вот что вы можете сделать (это объектно-ориентированный подход, отличный от старого процедурного подхода):

// this code will use the following variables that you must set somewhere before running your query:
//     $firstName
//     $lastName
//     $fid
// it also uses:
//     $_SESSION["userId"]

// connect to the database (fill in values for your database below)
$mysqli = new mysqli('host','username','password','default database');

// build query with parameters
$query = "SELECT * FROM user WHERE userId = ? AND FriendFirstName = ? AND FriendLastName = ? AND FriendStatusCode='verified' AND friendId != ? AND ViewableRow <> '0'";

// prepare statement
if ($stmt = $mysqli->prepare($query)) {

    // bind parameters
    $stmt->bind_param("issi", $_SESSION['userId'], $firstName, $lastName, $fid);

    // execute statement
    $stmt->execute();

    // set the variables to use to store the values of the results for each row (I made the variables up, in this case, let's assume your query returns 3 columns, `userId`, `firstName`, and `lastName`)
    $stmt->bind_result($returnUserId, $returnFirstName, $returnLastName);

    // loop through each row
    while ($stmt->fetch()) {

        // output the variables being looped through
        printf ("%d: %s %s\n", $returnUserId, $returnFirstName, $returnLastName);

    }

    // close statement
    $stmt->close();

}

// close connection
$mysqli->close();

Этот пример не использует обработку ошибок, но должен. Существует также множество других способов работы с наборами результатов (например, ассоциативными массивами), которые вы можете посмотреть в документах, которые нужно использовать. В этом примере я использовал bind_result циклически проходить по строкам и фактически назначать переменные, потому что я считаю, что это будет чище и легче отслеживать, когда у вас много кода.