PHP页面上的MySQL语法错误
您好,我收到此错误消息: 错误:您的SQL语法有错误;检查与您的MySQL服务器版本对应的手册,以了解在“id”];?>“附近使用的正确语法。”在1号线 运行此代码时:PHP页面上的MySQL语法错误,php,mysql,Php,Mysql,您好,我收到此错误消息: 错误:您的SQL语法有错误;检查与您的MySQL服务器版本对应的手册,以了解在“id”];?>“附近使用的正确语法。”在1号线 运行此代码时: $id = isset($_GET['id']) ? $_GET['id'] : ''; $sql="SELECT * FROM $tbl_name WHERE id='$id'"; $result=mysqli_query($con, $sql); if (!$check1_res) {
$id = isset($_GET['id']) ? $_GET['id'] : '';
$sql="SELECT * FROM $tbl_name WHERE id='$id'";
$result=mysqli_query($con, $sql);
if (!$check1_res) {
printf("Error: %s\n", mysqli_error($con));
exit();
}
$rows=mysqli_fetch_array($result);
?>
<table width="400" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<td><table width="100%" border="0" cellpadding="3" cellspacing="1" bordercolor="1" bgcolor="#FFFFFF">
<tr>
<td bgcolor="#F8F7F1"><strong><?php echo $rows['topic']; ?></strong></td>
</tr>
<tr>
<td bgcolor="#F8F7F1"><?php echo $rows['detail']; ?></td>
</tr>
<tr>
<td bgcolor="#F8F7F1"><strong>By :</strong> <?php echo $rows['name']; ?> <strong>Email : </strong><?php echo $rows['email'];?></td>
</tr>
<tr>
<td bgcolor="#F8F7F1"><strong>Date/time : </strong><?php echo $rows['datetime']; ?></td>
</tr>
</table></td>
</tr>
</table>
<BR>
<?php
$tbl_name2="forum_answer"; // Switch to table "forum_answer"
$sql2="SELECT * FROM $tbl_name2 WHERE question_id='$id'";
$result2=mysqli_query($con, $sql2)or die(mysql_error());
while($rows=mysqli_fetch_array($result2)){
?>
<table width="400" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<td><table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
<tr>
<td bgcolor="#F8F7F1"><strong>ID</strong></td>
<td bgcolor="#F8F7F1">:</td>
<td bgcolor="#F8F7F1"><?php echo $rows['a_id']; ?></td>
</tr>
<tr>
<td width="18%" bgcolor="#F8F7F1"><strong>Name</strong></td>
<td width="5%" bgcolor="#F8F7F1">:</td>
<td width="77%" bgcolor="#F8F7F1"><?php echo $rows['a_name']; ?></td>
</tr>
<tr>
<td bgcolor="#F8F7F1"><strong>Email</strong></td>
<td bgcolor="#F8F7F1">:</td>
<td bgcolor="#F8F7F1"><?php echo $rows['a_email']; ?></td>
</tr>
<tr>
<td bgcolor="#F8F7F1"><strong>Answer</strong></td>
<td bgcolor="#F8F7F1">:</td>
<td bgcolor="#F8F7F1"><?php echo $rows['a_answer']; ?></td>
</tr>
<tr>
<td bgcolor="#F8F7F1"><strong>Date/Time</strong></td>
<td bgcolor="#F8F7F1">:</td>
<td bgcolor="#F8F7F1"><?php echo $rows['a_datetime']; ?></td>
</tr>
</table></td>
</tr>
</table><br>
<?php
}
$sql3="SELECT view FROM $tbl_name WHERE id='$id'";
$result3=mysqli_query($con, $sql3);
$rows=mysql_fetch_array($result3);
$view=$rows['view'];
// if have no counter value set counter = 1
if(empty($view)){
$view=1;
$sql4="INSERT INTO $tbl_name(view) VALUES('$view') WHERE id='$id'";
$result4=mysqli_query($con, $sql4);
}
// count more value
$addview=$view+1;
$sql5="update $tbl_name set view='$addview' WHERE id='$id'";
$result5=mysqli_query($con, $sql5);
mysql_close();
?>
<BR>
<table width="400" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<form name="form1" method="post" action="add_answer.php">
<td>
<table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
<tr>
<td width="18%"><strong>Name</strong></td>
<td width="3%">:</td>
<td width="79%"><input name="a_name" type="text" id="a_name" size="45"></td>
</tr>
<tr>
<td><strong>Email</strong></td>
<td>:</td>
<td><input name="a_email" type="text" id="a_email" size="45"></td>
</tr>
<tr>
<td valign="top"><strong>Answer</strong></td>
<td valign="top">:</td>
<td><textarea name="a_answer" cols="45" rows="3" id="a_answer"></textarea></td>
</tr>
<tr>
<td> </td>
<td><input name="id" type="hidden" value="<?php echo $id; ?>"></td>
<td><input type="submit" name="Submit" value="Submit"> <input type="reset" name="Submit2" value="Reset"></td>
</tr>
</table>
</td>
</form>
</tr>
</table>
$id=isset($\u GET['id'])$_获取['id']:'';
$sql=“从$tbl\U名称中选择*,其中id='$id';
$result=mysqli\u查询($con,$sql);
如果(!$CHECK 1_res){
printf(“错误:%s\n”,mysqli_错误($con));
退出();
}
$rows=mysqli\u fetch\u数组($result);
?>
收件人:电子邮件:
日期/时间:
名称
:
电子邮件
:
回答
:
日期/时间
:
很可能是由于sql注入导致错误,或者在整数周围使用单引号。为了防止sql注入,最好的方法是使用预处理语句,但是预处理语句只对字段有效,因此在查询中动态更改表名时的最佳做法是使用白名单,在白名单中检查值,并使用静态值设置表以防止注入。使用filter\u input
验证$\u GET
和$\u POST
值也很理想
$id=filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT);
if ($id === false) {
//filter failed
die('id not a number');
}
if ($id === null) {
//variable was not set
die('id not set');
}
//white list table
$safe_tbl_name = '';
switch($tbl_name){
case 'Table1':
$safe_tbl_name = 'MyTable1';
break;
case 'Table2':
$safe_tbl_name = 'MyTable2';
break;
default:
$safe_tbl_name = 'MyDataTable';
};
$sql="SELECT * FROM `$safe_tbl_name` WHERE id=?";
$stmt = $con->prepare($sql);
$stmt->bind_param("i", $id);
$stmt->execute();
$stmt->bind_result($result);
if (!$check1_res) {
printf("Error: %s\n", mysqli_error($con));
exit();
}
$rows = $stmt->fetch_all(MYSQLI_ASSOC);
编辑
同样值得注意的是,您使用的是mysqli
,但是您使用了以下mysql
函数,这些函数应该更改为它们的mysqli
计数器部分
mysql_close()
mysql_error()
mysql_fetch_array()
编辑
正如@Barmar所指出的,您正在创建无效的HTML,我强烈建议您运行输出页面,查看并纠正问题 您不能对表名使用var。id'];?>“”是否确实在错误消息中?您的代码易受SQL注入攻击。您应该使用或准备中所述的语句。mysql\u fetch\u array()
和mysql\u error()
-不要与您建立的mysqli\ucode>连接混在一起;这就是代码失败的部分原因。你应该从一开始就发布你的全部代码。你现在已经得到了答案,看吧@Danielsmith如果在$tbl_name(view)值('$view')中有INSERT,其中id='$id'
-INSERT不使用WHERE子句,这也是失败的。类似的查询也是如此。你没有用打开你的代码吗?是的,太好了。现在所有的错误都消失了,非常感谢:我得到了输出id,不是一个数字