将PHP变量传递到sql查询
我想创建一个过滤器,并在WHERE子句中将类别和值传递到sql查询中。 如果我手动设置类别,它将获取值并过滤结果。但是当我想通过分类时,它会给我这个错误 以下是我使用的代码:将PHP变量传递到sql查询,php,sql,variables,url,Php,Sql,Variables,Url,我想创建一个过滤器,并在WHERE子句中将类别和值传递到sql查询中。 如果我手动设置类别,它将获取值并过滤结果。但是当我想通过分类时,它会给我这个错误 以下是我使用的代码: $('#filterEvents').click(function () { document.location.href = 'events.php?filter=' + $('#eventFilterOption').val() + '&filterValue=' + $('#eventFilterI
$('#filterEvents').click(function () {
document.location.href = 'events.php?filter=' + $('#eventFilterOption').val() + '&filterValue=' + $('#eventFilterInput').val();
});
$category = $_GET['filter'];
$searchValue = $_GET['filterValue'];
$sql = "SELECT EV_Date, EV_KKZ, EV_CardNr, TE_Name, EV_Name, EV_SurName, EV_EventTyp FROM events1
INNER JOIN terminal1 ON terminal1.TE_IDX = events1.EV_FK_TermIDX
WHERE ".$category." = '" . $searchValue . "'
ORDER BY EV_Date DESC
LIMIT 2000";
print_r($sql);
$query = $DB->prepare($sql);
$query->execute();
$data = $query->fetchAll(PDO::FETCH_ASSOC);
此处的值为空:
$category = $_GET['filter'];
$searchValue = $_GET['filterValue'];
顺便说一句,打开此页面/events.php时,您将始终看到该错误。因为这些变量默认为空。您在获取变量时遇到问题-PHP脚本无法获取值-因此我相信您的Javascript中存在错误 更重要的是,这不是运行查询的安全方法。您的PHP正在获取用户传递的变量,并将它们直接插入到SQL中,而无需验证。很容易滥用此功能来提取信息或修改数据库
您应该使用
$category$searchValueevents.php?filter=Colour&filterValue=Red
events.php?filter=Size&filterValue=Large
events.php?filterColour=Red
events.php?filterSize=Large
$('#filterEvents').click(function () {
document.location.href = 'events.php?filter' + $('#eventFilterOption').val() + '=' + $('#eventFilterInput').val();
});
$query = $DB->prepare($sql);
$query->bindParam(':colour', $_GET['filterColour'], PDO::PARAM_STR, 12);
$query->bindParam(':size', $_GET['filterSize'], PDO::PARAM_STR, 12);
$query->execute();
events.php?filterSize=Large&filterColour=Red
转储查询-消息表明您有语法错误。调试代码您应该对照允许的列名白名单检查
$category$categoryevents.php?filterSize=Large&filterColour=Red