我正在使用数据表,我正在尝试创建一个自定义WHERE子句。我有以下代码:
$sWhere = "WHERE office=".$varOffice;
if ( isset($_GET['sSearch']) && $_GET['sSearch'] != "" )
{
$sWhere = "WHERE (";
for ( $i=0 ; $i<count($aColumns) ; $i++ )
{
if ( isset($_GET['bSearchable_'.$i]) && $_GET['bSearchable_'.$i] == "true" )
{
$sWhere .= "`".$aColumns[$i]."` LIKE '%".mysql_real_escape_string( $_GET['sSearch'] )."%' OR ";
}
}
$sWhere = substr_replace( $sWhere, "", -3 );
$sWhere .= ') AND office='.$varOffice;
}
调试后,我发现MySQL抛出了一个错误。错误1605。
我决定回应这里找到的$sQuery
:
$sQuery = "
SELECT SQL_CALC_FOUND_ROWS `".str_replace(" , ", " ", implode("`, `", $aColumns))."`
FROM $sTable
$sWhere
$sOrder
$sLimit
";
然后我发现错误是因为WHERE子句没有引号,如:
SELECT SQL_CALC_FOUND_ROWS `amount_due_owed`, `amount_paid`, `amount_remaining`, `reference_number` FROM accounting WHERE office=Office 1
应该是:
WHERE office='Office 1'
我一直在努力,但还是没能弄明白。我应该如何得到单引号周围的变量?
在第一行添加单引号:
$sWhere = "WHERE office='".$varOffice."'";
也:如果你只是到处插入随机$_GET
变量到你的SQL查询,你最终会有一个糟糕的时间。请使用PDO或更安全的东西(即使mysql_real_escape_string()
也不那么安全)。