从数据库中选择数据后出错[重复]

Question

我目前正在开发一个带有投票系统的论坛网站。然而，有一些烦人的，可能是语法错误困扰着我。我说的是这段代码。

<?php
session_start();

include_once 'dbh_discussion.inc.php';
$conn = db_discussion_connect();

$thread_id = $_POST['upvote'];

$sql1 = $conn->prepare("SELECT * FROM users WHERE user_id = '$_SESSION['u_id']' AND thread_id = '$thread_id'");

这段代码中不清楚的地方如下：

• db_discussion_connect() 在 dbh_discussion_connect.inc.php 中声明的函数。此函数返回一个连接到我的数据库的新 PDO。
• 索引“upvote”是另一个 php 文件中将调用上述代码的按钮的名称。
• $_SESSION['u_id'] 是一个会话变量，将在用户登录网站时分配。

我在服务器上调试时遇到的错误：

解析错误：语法错误，意外'' (T_ENCAPSED_AND_WHITESPACE)， 期望 '-' 或标识符 (T_STRING) 或变量 (T_VARIABLE) 或 /var/www/html/includes/thread_upvotes.inc.php 中的数字 (T_NUM_STRING) 在第 9 行

我觉得我错过了一些语法。无论如何，我非常感谢有人告诉我这里出了什么问题。

谢谢

Answer 1

你的代码有错误，具体是代码user_id = '$_SESSION['u_id']'，试试这个：

 $sql1 = $conn->prepare("SELECT * FROM users 
 WHERE user_id = '{$_SESSION['u_id']}' AND thread_id = '$thread_id'");

要在字符串中插入数组键，如果在' ' 中指定键，则必须将其括在{ } 中

警告在查询中直接插入$_SESSION 内容，您将有资格获得SQL Injection!!!

插入它们的正确和更好的方法是像这样绑定每个：

$sql1 = $conn->prepare("SELECT * FROM tableName WHERE fieldID = :id");
$sql1->bindParam(':id', $_SESSION["id"]);

Answer 2

这些人提供的答案仍然对注射持开放态度，这让我非常激动。把他准备好的声明改成安全的有那么难吗？！！！

这里有一个正确的预处理语句的解决方案。好像重写它需要那么长时间。这应该是违反这里的规则的。

<?php
session_start();

include_once 'dbh_discussion.inc.php';
$conn = db_discussion_connect();

$sql1 = $conn->prepare("SELECT * FROM users WHERE user_id = :uid AND thread_id = :tid");
$sql1->bindParam(':uid', $_SESSION["u_id"]);
$sql1->bindParam(':tid', $_POST['upvote']);
$sql1->execute();

Answer 3

好像引用了问题，试试下面，

$uid = $_SESSION['u_id'];
$sql1 = $conn->prepare("SELECT * FROM users WHERE user_id = '$uid' AND thread_id = '$thread_id'");