PHP MYSQL problème de récupération de données

Question

Je suis confronté à un problème avec l'extraction de données à partir de SQL.

Lorsque j'utilise la déclaration ci-dessous, il fonctionne très bien

$sql = 'SELECT `Name`, `Des`, `Url`, `about`, `date` FROM `data` where name = \'facebook\''; 
$retval = mysql_query($sql, $conn); 

Lorsque j'utilise le même en utilisant un nom de paramètre, je suis confronté à un problème, le code j'est

$name = $_GET['name']; 
$sql = 'SELECT `Name`, `Des`, `Url`, `about`, `date` FROM `data` where name = \'$name''; 
$retval = mysql_query($sql, $conn); 

J'ai aussi essayé par nom concaténer comme \'facebook\'

$name1 = "\'".$name . " \'"; but it is also not working . 

Answer 1

utilisation Double quotes donc vous n'aurez pas besoin d'échapper des guillemets simples.

$sql = "SELECT Name, Des, Url, about, date 
     FROM data 
     where name = '$name'"; 

titre d'observation, la requête est vulnérable à SQL Injection si la valeur (s) des variables est venu de l'extérieur. S'il vous plaît jeter un oeil à l'article ci-dessous pour apprendre comment éviter cela. En utilisant PreparedStatements vous pouvez vous débarrasser de l'utilisation de guillemets simples autour des valeurs.

• How to prevent SQL injection in PHP?

Answer 2

Utilisation Mysqli au lieu de Mysql.

Solution pour votre requête:

$name = $_GET['name']; 
$sql = "SELECT Name, Des, Url, about, date FROM data where name = '".mysql_real_escape_string($name)."'"; 
$retval = mysql_query($sql, $conn); 

Answer 3

Vous devez utiliser des guillemets autour de votre requête de chaîne. Les variables ne peuvent être substituées qu'à l'intérieur des doubles qoutes.

$name = $_GET['name']; 
$sql = "SELECT `Name`, `Des`, `Url`, `about`, `date` FROM `data` where name = '$name'"; 
$retval = mysql_query($sql, $conn); 

De même, vous ne devriez pas utiliser la bibliothèque mysql, utilisez plutôt PDO ou mysqli. Ne mettez pas de données POST ou GET brutes dans votre requête.