mysql: апостроф не читается из столбца varchar в базе данных?

У меня есть следующая таблица для new_supplier_request:

Id  |  ref  |  User   |  Manager (Varchar)
1      12      James     Henry O'Brien

У меня также есть моя таблица internal_users:

 Id  |    User_firs_name   |  user_last_name(Varchar)    
 1        Henry               O'Brien

я использую следующий запрос mysql, чтобы дать разрешение менеджеру (который вошел в систему) для просмотра некоторого содержимого, если имя менеджера отображается для этой строки данных в столбце менеджера моей таблицы new_supplier_request

$_SESSION['username'] = internal_users.user_first_name
$_SESSION['username2'] = internal_users.user_last_name
$user = $_SESSION['username']." ".$_SESSION['username2'];

$sql34 = "select * from new_supplier_request, internal_users where new_supplier_request.status!= 'complete' and new_supplier_request.action_taken ='none' AND new_supplier_request.user_id = internal_users.user_id AND requestee_manager = '$user'";
$result = $conn->query($sql34);

По какой-то причине это работает нормально, если фамилия не содержит апостроф, но поскольку фамилия этого менеджера - О'Брайен, по какой-то причине, когда я проверяю в своем запросе, он терпит неудачу, потому что ему трудно читать апостроф в имени, если я поменяю фамилию генри на что-то вроде Джеймса, то это сработает. Может кто-нибудь объяснить, пожалуйста, что я делаю не так? Спасибо

3 ответа

Решение

Проверьте это:

$_SESSION['username'] = mysqli_real_escape_string($conn, internal_users.user_first_name);
$_SESSION['username2'] = mysqli_real_escape_string($conn, internal_users.user_last_name);

Вам следует рассмотреть возможность использования подготовленных операторов PDO со связанными параметрами.

Таким образом, ваши запросы будут безопаснее, и многие проблемы со строковыми параметрами должны быть решены.

$query = $pdo->prepare('
select *
from new_supplier_request, internal_users
where new_supplier_request.status <> :status
and new_supplier_request.action_taken = :action_taken
AND new_supplier_request.user_id = internal_users.user_id
AND requestee_manager = :user
');

$query->bindValue(':status', 'complete');
$query->bindValue(':action_taken', 'none');
$query->bindValue(':user', $user);

$query->execute();

$results = $query->fetchAll();

Проходить $conn->real_escape_string($user) вместо $user в запросе. Вы НИКОГДА не должны использовать значения переменных непосредственно в запросе, не применяя тип или не экранируя их, так как вы оставите код уязвимым для атак внедрения SQL.

Другие вопросы по тегам