Как вставить переменные в sql запрос на php?

Question

[Григорий Д.]

Нужно сделать выборку из БД.

1. Соединяемся с сервером БД (успешно)
2. Выбираем БД (успешно)
3. Формируем запрос на получение данных из БД (ошибка)

переменные берутся из $_POST[].

$city = $_POST[city];
	$area = $_POST[area];
	$price1 = ($_POST[price]) + 50;
	$price2 = ($_POST[prise]) - 50;

запрос :

$querySell = ("
		SELECT * FROM mytable
		WHERE city = '.$city.'
		AND price <= '.$price1.'
		AND price >= '.$price2.'
		AND type = "Продать"
		;
	");

$result = mysql_query($querySell) or die (mysql_error());

ошибка : Query was empty

Вопрос:
Как правильно оформить вставку переменных в этот запрос?

Comments

[Александр]

А точки-то зачем? для прайса можно взять between, если это числа. Попробуйте написать сначала запрос или в консоли, или в чем-то типа phpmyadmin, если он есть.

Answer 1

[FanatPHP]

Как вставить переменные в sql запрос на php?

Только. Через. Плесхолдеры.
Любой, кто отвечает иначе - тупой нуб, застрявший в прошлом веке и так и не осиливший даже азы программирования.

Соответственно, тебе нужна библиотека, которая поддерживает плейсхолдеры. Хотя старушку mysql ext можно заставить, но для новичка лучше всего подойдет PDO.

$sql = "SELECT * FROM mytable WHERE city = ? AND price BETWEEN ? AND ? AND type = 'Продать'";
$stmt = $pdo->prepare($sql);
$stmt->execute([$_POST['city'], $_POST['area'], $_POST['price']-50, $_POST['price']+50]);
$data = $stmt->fetchAll();

Как соединяться с БД и вообще про PDO читай здесь: phpfaq.ru/pdo

А твоя ошибка вызвана опечаткой и неправильной обработкой ошибок.
Во-первых, у тебя в какой-то из запросов передается пустая строка - скорее всего, из-за опечатки
Во-вторых, если бы в РНР было включено нормальное отображение ошибок, то РНР тебе бы сам ругнулся на эту опечатку.
В-третьих, если бы ошибки mysql обрабатывались по-человечески, то РНР тоже указал бы на тот конкретный запрос, который оказался пустым. И ты бы не хватался вместо него за первый попавшийся.

Comments

[olamedia .]

автор переменную не может найти, куда там до PDO

Answer 2

[Дмитрий С]

Поменяйте местами кавычки у слова Продать (там одинарные в вашем случае нужны) с кавычками, которые используете при вставке переменных, там двойные

Comments

[Григорий Д.]

Сделал как вы говорите, результат Query was empty;

[Григорий Д.]

$querySell = ("
SELECT * FROM mytable
WHERE city = ".$city."
AND price <= ".$price."
AND price >= ".$price2."
AND type = 'Продать'
;
");

[Дмитрий С]

Григорий Дидус: вызов mysql_query происходит сразу после формирования переменной запроса?

[Григорий Д.]

Дмитрий С: делал и сразу и перед. Ничего не помогло.

[IPv4]

Григорий Дидус: $querySell = ("
SELECT * FROM mytable
WHERE city = '".$city."'
AND price <= '".$price."'
AND price >= '".$price2."'
AND type = 'Продать'
;
");

[Дмитрий С]

Григорий Дидус: если еще актуально, покажите пожалуйста весь код)

[Григорий Д.]

Дмитрий С: спасибо, вопрос был решен через начало всего с нового листа, и правильным экранированием переменных.

Answer 3

[unclefeudorsnew]

Используйте встроенные возможности PDO

Comments

[Григорий Д.]

я только учусь и не знаю что такое PDO. Вы можете привести четкий пример вставки переменной в sql запрос?

[unclefeudorsnew]

Да, конечно.
Сначала подключаемся:
<?php
$dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
//Затем, готовим запрос:
$stmt = $dbh->prepare("SELECT * FROM mytable WHERE city=:city AND price<=:price1 AND price>=price2 AND type=:type");
//Суть в том что движок PDO за нас заменит все, что начинается с : на нужные переменные. Укажем ему на какие именно:
$stmt->bindParam(':city', $city);
$stmt->bindParam(':price1', $price1);
$stmt->bindParam(':price2', $price2);
$stmt->bindParam(':type', $type);
//Теперь можно присвоить значения переменным:
$city = $_POST[city];
$type="Продать";
$price1 = ($_POST[price]) + 50;
$price2 = ($_POST[prise]) - 50;
//Осталось только выполнить запрос:
$stmt->execute(array($name));
//И получить его результат:
$data = $stmt->fetchAll();
var_dump($data);
?>

[Григорий Д.]

unclefeudorsnew: спасибо!

[unclefeudorsnew]

Григорий Дидус: Рекомендую попробовать, ибо по памяти писал

[Григорий Д.]

unclefeudorsnew:
результат

Warning: PDOStatement::execute() [pdostatement.execute]: SQLSTATE[HY093]: Invalid parameter number: number of bound variables does not match number of tokens in Z:\home\localhost\www\job\db22.php on line 16
array(0) { }

[Григорий Д.]

FanatPHP: не любите вы новичков. Я сам учусь 4 месяца дома и много чего не понимаю и еще не знаю. Это не значит что все, кто не знает - обезьяны.

[FanatPHP]

Григорий Дидус: те, кто не знают, но лезут советовать другим - еще похуже обезьян. Впрочем, здесь я свои претензии удалил.

[unclefeudorsnew]

Григорий Дидус: в целом могу вам посоветовать замечательную обертку от хабражителя: habrahabr.ru/post/119294

Answer 4

[olamedia .]

1. нафига скобки? ("
2. '.$city.' и подобные заменить на '".$city."' либо '$city'
3. вы получили уязвимость на sql-инъекции. используйте PDO/mysqli_prepare/mysql_real_escape_string
4. mysql_ устарел и перестанет поддерживаться через какое-то время окончательно, используйте mysqli_/PDO

5. сделайте var_dump($querySell) из mysql_query. возможно это просто опечатка (вроде русской е заместо e либо I заместо l, у заместо y) либо $querySell определена в другой области видимости (другом методе, например)
6. "Продать" в одиночные кавычки - вы, как видно не используете подсветку синтаксиса, иначе увидели бы, что внутри получилось 2 строки "СТРОКА1"Продать"СТРОКА2" и Продать между ними.

Comments

[Григорий Д.]

изначально их небыло, я перебирал все что знал, добавлял и менял местами "( )" и менял местами " " -> ' '. Результата не было.

[olamedia .]

обратите внимание на 5 пункт, очень похоже на него.

[Григорий Д.]

var_dump($querySell) ----------- NULL.

[olamedia .]

Григорий Дидус: ну дык разберитесь почему в этом месте она не определена. либо дайте полный кусок кода

[Григорий Д.]

olamedia .: пункт 5 - не годится, там нету опечатки. Проверил.

[olamedia .]

Григорий Дидус: в пятом пункте не только опечатки, а еще область видимости.
т.е. переменная определена в месте, недоступном для mysql_query. либо вообще не была определена, если какое-то условие не выполнилось
например, if (условие не выполнилось){ $querySell = "..."; } mysql_query($querySell);

[Григорий Д.]

olamedia .:
вот файл index.php

<?php
	$host = "localhost";
	$pass = "qwerty";
	$user = "suicide676";
?>	

<?php
	echo "<hr>";
	echo $_POST[sell] . "<br>";
	echo $_POST[buy] . "<br>";
	echo $_POST[city] . "<br>";
	echo $_POST[area] . "<br>";
	echo $_POST[price] . "<br>";
	
	?>

<html>
<head>
	<meta charset="utf-8">
	<title>Фильтр</title>
	<link href="style.css" type="text/css" rel="stylesheet">
	<script type="text/javascript">
		
		
		function disableArea(){
			//alert ('disable area');
			var ar = document.getElementById('area');	
				ar.disabled = true;
				return false;
				
		}		
				
		
		function disablePrice(){
			//alert ('disable price');
			var pr = document.getElementById('price');
				pr.disabled = true;
				return false;	
		}

		function start (){
			var buy = document.getElementById('buy');
			var sell = document.getElementById('sell');
			var area = document.getElementById('area');
			var price = document.getElementById('price');
				buy.onclick = disableArea;
				sell.onclick = disablePrice;
		}


		window.onload = start;
		
	</script>
</head>
<body>
<div id="container">	
	<div id="filter">
<form id="tab" method="POST" action="<?php $_SERVER['REQUEST_METHOD'] ?>">
		<button id="buy" name="buy">Купить</button>
		<button id="sell" name="sell">Продать</button>
		<br>
		<?php include('list.php'); ?>
		<br>
			<label>Площадь:</label>
		<input type="text" name="area" id="area"></input><br>
			<label>Цена:</label>
		<input type="text" name="price" id="price"></input><br>
		<input type="submit" value="Найти"></input><br>
</form>	
	</div>
	<hr>
	<div id="table">
	<?php
	include("db.php");
	echo "<hr>";
	
	?>
	</div>
	
</div>
</body>
</html>

а вот файл, который подключается в него и работает с БД

<?php
	echo ($querySell);

	$city = $_POST[city];
	$area = $_POST[area];
	$price1 = ($_POST[price]) + 50;
	$price2 = ($_POST[prise]) - 50;
	
	//$selectQuery = "SELECT * FROM mytable";
	
	$connect = mysql_connect ($host, $user, $pass) or die (mysql_error());
	$db = mysql_select_db("mydb", $connect) or die (mysql_error());
	
	$result = mysql_query($querySell) or die (mysql_error());
	
		
	
	
	$querySell = ('
    SELECT * FROM mytable
    WHERE city = '.$city.'
    AND price <= '.$price1.'
    AND price >= '.$price2.'
    AND type = 1');
	
$result = mysql_query($querySell) or die (mysql_error());
	
	$queryBuy = "
		SELECT * FROM mytable
		WHERE city = '$city'
		AND area = '$area'
		AND type = 'Купить'
		;
	";	
		echo ($querySell);
	
	
	echo "<table border='1' id='tab'>";
		echo "<tr>";
			echo "<td>". "<b>Тип</b>" ."</td>";
			echo "<td>". "<b>Город</b>" ."</td>";
			echo "<td>". "<b>Площадь</b>" ."</td>";
			echo "<td>". "<b>Цена</b>" ."</td>";
		echo "</tr>";
	while ($arr = mysql_fetch_array($result)){
		
	echo "<tr>";
		echo "<td>" . $arr['type'] . "</td>";
		echo "<td>" . $arr['city'] . "</td>";
		echo "<td>" . $arr['area'] ." S". "</td>";		
		echo "<td>" . $arr['price'] ." UAH". "</td>";
	echo "</tr>";
	}
	echo "</table>";

?>

[olamedia .]

значение присваивается после mysql_query
$result = mysql_query($querySell) or die (mysql_error());
...
$querySell =

[Григорий Д.]

olamedia .: if там нету, до него не дошло, я проверяю без условия.

[olamedia .]

Григорий Дидус: см ниже: значение присваивается после mysql_query
$result = mysql_query($querySell) or die (mysql_error());
...
$querySell =

[FanatPHP]

Как я и говорил - все проблемы от неправильной обработки ошибок.

[olamedia .]

FanatPHP: точнее отсутствием обработки в виде die

[FanatPHP]

Это первое. А второе - E_ALL бы показал на попытку обращения к еще не определенной переменной.

[olamedia .]

Григорий Дидус: и да, никому, особенно здесь, не сообщайте адрес сайта, на котором это крутится, пока не избавитесь от инъекций и вообще пока не подучите язык )
взломают моментально

[olamedia .]

FanatPHP: E_ALL уронил бы страницу сразу на $_POST[sell] - неопределенная константа, приведение к строке.

Answer 5

[Глюкъ Виртуален]

Используйте богоугодные языки и символы.

$querySell = ('
    SELECT * FROM `mytable`
    WHERE `city` = '.$city.'
    AND `price` <= '.$price1.'
    AND `price` >= '.$price2.'
    AND `type` = 1
');

Type настроите сами.

Comments

[Александр]

кавычки с ума сойдут)

[Глюкъ Виртуален]

Awake: лишь бы интерпретатор не сошел :)

[Григорий Д.]

С русскими никак? Нужно лезть в БД и везде менять купить/продать на 0/1?

[Глюкъ Виртуален]

Григорий Дидус: не испольуйте небогоугодные языки.

[Григорий Д.]

Глюкъ Виртуален: сделал запрос по вашему, затем хочу на него (не результат, а именно сам запрос) посмотреть. echo ($querySell); , а он пустой. Как так?

[Глюкъ Виртуален]

Григорий Дидус: не могу знать. Проверил специально — выводится.

[Григорий Д.]

Глюкъ Виртуален: голова уже квадратная..

[Глюкъ Виртуален]

Григорий Дидус: выпейте :)

[Григорий Д.]

Глюкъ Виртуален: алкоголь убивает мозг. А мозгу и так тяжело) Я не пью.

Answer 6

[DieZz]

Прочтите вот эту статью. Думаю, очень поможет habrahabr.ru/post/137664

Comments

[FanatPHP]

Статья говно, кстати. Понятно, что другой нет, но реальной пользы из нее - буквально пара строчек. Остальное вода и вред.