我想搜索并显示数据库中的数据，但它给了我错误[关闭]

Question

这是我的 search_candidate.php 文件

<?php

   $name = $_GET['name'];
   $sql = "SELECT * FROM candidates WHERE Name = $name";
   $query = mysql_query( $sql );
          if(mysql_num_rows($query) == "")
          {
          echo "no result found";
          }
          echo "<table>";

          echo "<thead></thead>";
                while( $row = mysql_fetch_array( $query ) )
                     {
                      echo "<tr></tr>";
                     }
          echo "</table>";
?>

Answer 1

SELECT * FROM candidates WHERE Name = $name

$name 是一个字符串，需要像'$name' 这样放在引号中

但即使在修复之后，您也不会得到任何东西，因为您的循环不会打印任何数据。它只是打开和关闭新行，里面没有任何内容。

How can I prevent SQL injection in PHP?

Answer 2

似乎名称是字符串，所以在查询中为 $name 添加引号

$sql = "SELECT * FROM candidates WHERE Name = '$name'";

注意：- mysql_* 已被弃用，使用 mysqli_* 或 PDO。

Answer 3

试试这个代码吧。

<?php

   $name = $_GET['name'];
   $sql = "SELECT * FROM candidates WHERE Name = '$name'";
   $query = mysql_query( $sql );
          if(mysql_num_rows($query) == "")
          {
          echo "no result found";
          }
          echo "<table>";

          echo "<thead></thead>";
                while( $row = mysql_fetch_array( $query ) )
                     {
                      echo "<tr><td>".$row['name']."</td></tr>";
                     }
          echo "</table>";
?>

从问题中复制代码并对 2 个错误进行更改 $name 字符串必须用引号括起来，并在循环中添加 <td>".$row['name']."</td> 以显示某些内容。

您的代码允许任何人注入，因此请尝试使用PDO 或MySQLi 连接。