Как правильно внести переменную php в SQL запрос?

Question

[Иса Кадырбеков]

if($_SERVER['REQUEST_METHOD'] === 'POST'){
    $new_review_data = filter_var(trim($_POST["review_input"]), FILTER_SANITIZE_STRING);
    $sql_request = "UPDATE `peopletable` SET `review`= {$new_review_data} WHERE `ID`= {$id}";       
 }

У меня не вносятся изменения , у меня код представлен в виде.
страница подключена к базе данных, переменная $id и $new_review_data имеют данные. Нужно внести изменения в колоне под именем "review" Но изменения в базе данных отсутствуют.

Comments

[ThunderCat]

Код оформите в тег кода.
Какие ошибки пишет?
Что содержит $_POST["review_input"]?
Что содержит $new_review_data?

[Иса Кадырбеков]

ThunderCat, это все обернуто в <?php ?>

[Антон]

Иса Кадырбеков, Вот так

if($_SERVER['REQUEST_METHOD'] === 'POST'){
  $new_review_data = filter_var(trim($_POST["review_input"]), FILTER_SANITIZE_STRING);
  $sql_request = "UPDATE `peopletable` SET `review`= {$new_review_data} WHERE `ID`= {$id}";
}

[Lander]

Иса Кадырбеков, :)

[ThunderCat]

Иса Кадырбеков, В редакторе поста есть специальные инструменты, позволяющие правильно оформить текст, в том числе нормально подсветить и выделить код (</>).

[ThunderCat]

Иса Кадырбеков,

Какие ошибки пишет?
Что содержит $_POST["review_input"]?
Что содержит $new_review_data?

[ThunderCat]

Так же, не вижу собственно кода где запрос выполняется, но уже вижу что подготовленные выражения не используются, ваш санитайз никак не защищает от инъекции, вообще не совсем понятно зачем он там, и что вы там санитайзите...

[Иса Кадырбеков]

ThunderCat, ошибки не выводится , в $_POST["review_input"] находится сообщение с textarea , которая взята с form.
В $new_review_data присваиваю данные с $_POST["review_input"] .

[Данил Бабаков]

Иса Кадырбеков,
1) переменные должны быть в кавычках:

$sql_request = "UPDATE `peopletable` SET `review`= '$new_review_data' WHERE `ID`= '$id'";

2) Используйте плейсхолдеры

[Иса Кадырбеков]

Данил Бабаков, можете пояснить за плейсхолдеры

[Данил Бабаков]

Иса Кадырбеков, https://habr.com/ru/post/148701/

[ThunderCat]

Иса Кадырбеков,

ошибки не выводится

По тому что заглушены, как минимум сообщение от драйвера мускуля с ошибкой вставки текстовых полей без кавычек. Все бы работало нормально, если бы вы сразу работали с подготовленными выражениями.

[Иса Кадырбеков]

ThunderCat, все стало яснее

[Alexey Marchenko]

Конечно вы используете фильтр, но лучше этого не использовать все-таки. Используйте специальные команды для этого PDOStatement::bindParam.

Я думаю, что у вас $id - неопределен.
Но ради теста попробуйте строку разбить вот так:

$sql_request = "UPDATE `peopletable` SET `review`= " . $new_review_data .  "WHERE `ID`= " . $id;

и через дебаггер или var_dump посмотрите какая у вас строка в итоге получается.

[Иса Кадырбеков]

Приветствую! Благодарю за совет! У меня переменная $id определена.Так же $new_review_data определена , причина во все не в значениях переменных. Но я до сих пор не понимаю проблему
причину проблему

[Иса Кадырбеков]

if($_SERVER['REQUEST_METHOD'] === 'POST'){
$new_review_data = filter_var(trim($_POST["review_input"]), FILTER_SANITIZE_STRING);
mysqli_query($link,"UPDATE `peopletable` SET `review`= '$new_review_data' WHERE `ID`= '$id'");
}