爲什麼SQL/PHP中的這個查詢不起作用？

Question

我有這個在php中進行的SQL查詢。但查詢在ERROR中解除。如果刪除此AND first_name LIKE '{$first_name}%'，它工作正常，併產生正確的輸出。我無法關注下面的語法有什麼問題。 任何幫助將不勝感激。由於

$db = new PDO("mysql:dbname=newbie"); 
      $first_name=$_GET["firstname"]; 
      $first_name =$db->quote($first_name); 
      $last_name=$_GET["lastname"]; 
      $last_name=$db->quote($last_name); 
      $rows=$db->query("SELECT id,first_name FROM actors WHERE last_name=$last_name AND first_name LIKE '{$first_name}%' ORDER BY film_count DESC LIMIT 1"); 

Answer 1

我認爲這可能是因爲你錯過了$lastname引號，因爲它是一個文本字段。

$db = new PDO("mysql:dbname=newbie"); 
      $first_name=$_GET["firstname"]; 
      $first_name =$db->quote($first_name); 
      $last_name=$_GET["lastname"]; 
      $last_name=$db->quote($last_name); 
      $rows=$db->query("SELECT id,first_name FROM actors WHERE last_name='{$last_name}' AND first_name LIKE '{$first_name}%' ORDER BY film_count DESC LIMIT 1"); 

Answer 2

你沒有正確使用PDO，並暴露自己的大量SQL injection bugs風險。使用佔位符和逃避你的數據：

$sth = $db->prepare("SELECT id,first_name FROM actors WHERE last_name=:lastname AND first_name LIKE :first_name ORDER BY film_count DESC LIMIT 1"); 
$result = $db->execute(array("firstname" => "%" . $_GET["firstname"] . "%", "lastname" => $_GET["lastname"])); 

有許多方法可以做到這一點，所有的various tutorials描述。

Answer 3

您可以移除'$ first_name'周圍的'{'和'}'。當變量位於雙引號內時，它們不應該是必需的。