SPRINTF () против mysql_query ()
https://stackoverflow.com/questions/4027143
-
26-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Имея проблемы с форматированием моего кода, чтобы выполнить без ошибок, используя SPRINTF (), когда я запускаю код, я получаю эту ошибку: ошибка разбора: ошибка синтаксиса, неожиданный T_Variable In / местоположение в строке 16
$query = sprintf('UPDATE `%s` SET `stock` = :amount WHERE `itemname` = '$q'', $tablename);
Выше находится линия 16 в моем коде. Я предполагаю, что это синтаксис связан.
Я теперь получаю следующую ошибку:
Фатальная ошибка: неискаженное исключение «PDOException» с сообщением «SQLState [42000]: синтаксис ошибки или нарушение доступа: 1065 запрос был пустым« в /home/content/63/6563663/html/inventory/pg.php:19 trace): # 0 /home/content/63/6563663/html/inventory/pg.php(19): pdostatement-> Выполнить () # 1 {main}, брошенный в /home/content/63/6563663/html/inventory/pg.php на линии 19.
Это мой весь код код:
<?php
$u=$_GET["u"];
if ((isset($_POST["MM_update"])) && ($_POST["MM_update"] == "form2")) {
$amount = isset($_POST['amount']) ? $_POST['amount'] : null;
if (null != $amount) {
$user = 'username';
$pass = 'password';
$pdo = new PDO('mysql:localhost', $user, $pass);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
session_start();
$tablename = $_SESSION['MM_Username'];
$query = sprintf('UPDATE %s SET stock= :amount WHERE itemname= '.$u, $tablename);
$stmt = $pdo->prepare($UpdateQuery);
$stmt->bindParam('amount', $amount);
$stmt->execute();
}
}
?>
Спасибо, кажется, моя ошибка имеет дело с исполнением PDO, а не сам запрос. Если у кого-то есть идеи на том, что это было бы здорово. Алан, я использовал ваш метод для цитат, а также запускаю запрос через MySQL_REAL_ESCAPE_STRING ().
Нет правильного решения
Другие советы
Пожалуйста, не создавайте SQL-запросы из переменных. Используйте переменные связывания.
Попробуй это:
$query = sprintf('UPDATE% s.SETзапас= :amount WHEREназвание предмета= '.$q, $tablename);
Вам необходимо поместить оператор конкатенации между строками и переменными, чтобы объединить их вместе. Вы также можете избавиться от '' после $q Потому что он вообще не меняет нить.
Редактировать:
Я верю, что я неправильно прочитаю то, что вы пытаетесь сделать. Попробуйте это вместо этого:
$query = sprintf("UPDATE% s.SETзапас= :amount WHEREназвание предмета= '$q'", $tablename);
Изменяя свою строку PHP в рамках двойных кавычек, вам не нужно избежать своих кавычек, а $ Q будет расширена до его стоимости.
Кроме того, будьте уверены, что вы запускаете $ Q и $ tableName через mysql_real_escape_string() предотвратить инъекцию SQL.
Вот так:
$query = sprintf('UPDATE `%s` SET `stock` = :amount WHERE `itemname` = \'$q\'', $tablename);
или
$query = sprintf("UPDATE `%s` SET `stock` = :amount WHERE `itemname` = \'$q\'", $tablename);
Вы не можете иметь бездействие 'S в струнах, разграниченных '. Отказ Либо без предупреждения "S в струнах, разграниченных ". Отказ Чтобы избежать строкового разделителя, вам нужно добавить \ символ.
