Как исправить sql select запрос в MySQL?

Question

[Иван]

Получаю список данных по двум датам, часто получаю ошибки:

Fatal error: Uncaught mysqli_sql_exception: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE DATE(p_date) BETWEEN '' AND ''' at line 1 in /var/www/u1372324/data/www/api/index.php:13 Stack trace: #0 /var/www/u1372324/data/www/offerscheck.ru/api/index.php(13): mysqli->query('SELECT * FROM ...') #1 {main} thrown in /var/www/u1372324/data/www/api/index.php on line 13

Мой код:

$coin = $_GET['coin'];
    $start = $_GET['start'];
	$end = $_GET['end'];
	
if (!empty($coin) && !empty($start) && !empty($end)) {

$result = $mysqli->query("SELECT * FROM $coin WHERE DATE(p_date) BETWEEN '$start' AND '$end'");


while($row = $result->fetch_assoc()) // получаем все строки в цикле по одной
{
    echo ''.$row['p_date'].' - '.$row['coin_price'].' - '.$row['coin_price_2'].'</p>';// выводим данные
}

$mysqli->close();

}else{
	echo 'trush';
	exit;
}

Как исправить select запрос?
Так и не понял в чем проблема.

После добавление проверки на пустоту, стал получать статус trush, т.е. что-то не проходит в сам select запрос.

Answer 1

[SagePtr]

Вероятнее всего, переменная $coin у вас пустая и запрос получается невалидным. Вообще подобным образом переменные, полученные извне, в запрос пихать - весьма опасная затея, любой может исковеркать ваш запрос и сделать с БД практически всё что угодно.

Comments

[Иван]

Там данные получаются из get, из url строки.
Все переменные проверял, все не пустые. Мне кажется где-то с кавычками проблема.
Во время тестов на сайте у меня вообще все работает сейчас, а тестирую в сервисе проверки ответа checkmy.ru получаю ту же ошибку, что ранее у себя.
Не понятно ничего.

[SagePtr]

Иван, ну URL-строку пользователь может отправить абсолютно любую

[Иван]

SagePtr, после добавление проверки на пустоту, стал получать статус trush, т.е. что-то не проходит в сам select запрос.
Проблема у меня в строке select похоже.

[SagePtr]

Иван, да, строка у вас формируется из пользовательских данных, которые могут быть произвольные, в этом и проблема.

[Иван]

SagePtr, мне пока с не произвольными данными проблему решить нужно.

[Иван]

Не понимаю, на сайте работает, а в анализе ответа сервера checkmy.ru выдает trush, как такое возможно?
Сервис проверки ответа сервера по другому читает php или html, ведь он должен видеть тоже, что и я.

[SagePtr]

Иван, он не обязан передавать ровно те же данные, что и вы передаёте, никто не обязан. Пишите код так, чтобы он работал с любыми передаваемыми данными (или отказывался работать, если данные не подходят, но не пытался слепо выполнять всё, что в него скормили).

[Иван]

SagePtr, вот это понятнее, а как мне тогда в скрипт передать данные если не через get параметр. Просто изначально задумано получать их из строки в url.
Что-то типа "api сервиса".

[SagePtr]

Иван, во-первых, не плодить для одинаковых сущностей разные таблицы. Если очень уж нужно - то по белому списку имя столбца подставлять. Во-вторых, в запрос передавать переменные не конкатенацией/интерполяцией строк, а через подготовленные выражения.

[Иван]

SagePtr, про подготовленные выражения я думал, но отказался от них в самом начале, решив, что это не так уже и серьезно. Работа не с деньгами.
Что значит по белому списку, вы имеете ввиду заранее одобренный список таблиц?

[SagePtr]

Иван, если данные на сайте не такие уж важные, всё равно стоит писать защищённый код, иначе со временем сайт превратится в рассадник вирусов и начнёт приносить вред другим людям. Да, держать к примеру в массиве список таблиц, и при запросе оттуда выбирать нужное имя столбца, исходя из входных данных.