Как в mysql запрос вставить переменную, у которой значение текст?

Question

[del993788]

Здравствуйте. У меня сайт отправляет в php файл слово "lux".
Его php там встречает вот таким образом:

$nnomer = $_POST['nnomer']; // то самое слово lux
$query = "SELECT datestart, dateend FROM main WHERE namenomer = '$nnomer'";

Проблема заключается в том, что слово lux должно быть в кавычках, но по факту выходит, что у меня в кавычках переменная $nnomer. И когда она в кавычках, она, переменная, становится обычным словом. То есть php ищет namenomer не lux, а $nnomer. Подскажите, как быть?

Answer 1

[roswell]

Никогда не следует таким образом писать запросы, потому что это прямая дорога к SQL injection. Правильнее было бы устроить нечто вроде

$pdo = new PDO(/* параметры соединения с БД */);
$result = $pdo->prepare('SELECT datestart, dateend FROM main WHERE namenomer = :namenomer');
$result->execute([':namenomer' => empty($_POST['nnomer' ]) ? '' : $_POST['nnomer']]);

Answer 2

[Сергей Доний]

А как же экранирование ? Может, лучше использовать PDO

try{
$db = new PDO("dbtype:host=yourhost;dbname=yourdbname;charset=utf8","username","password");
}catch(PDOException  $e ){
die( "Error: ".$e);
}

$query=$db->prepare("SELECT datestart, dateend FROM main WHERE namenomer = ?");
$query->execute(array($nnomer));

while($row=$query->fetch(PDO::FETCH_OBJ)) {
}

Comments

[del993788]

да. спасибо. сел изучать pdo. Вот только не могу одну проблему решить. Я с бд должен получить два значение такого вида: "2016-11-27" и "2016-11-30". И fetch мне их выдал. Но остаётся открытым вопрос, как эти два значения подсунуть к переменным php? После того, как я получу данные из бд, я должен их в php еще обработать. Только после обработки я отправлю эти данные на сайт. Как, к примеру, к переменной $start присвоить значение, которое получилось из SELECT datestart, а $end присвоить dateend?

[Сергей Доний]

$datestart = $row->date_start; $dateend = $row->date_end;

[Сергей Доний]

Все зависит от того, как вы сделаете fetch. Можно его возвратить как объект или массив (ассоциативный и нумированный). От выбора метода fetch зависит и обработка.

[del993788]

Сергей Доний: у вас ошибка, кстати, execute

[Сергей Доний]

да, согласен, execute написан был неправильно )