PDO 大海捞针 SQL 语句

Question

我正在使用 PDO，使用以下代码时出现错误：

$stmt = $pdo->prepare("SELECT username FROM users WHERE 
                                WHERE INSTR(`games`, '{$gameid}') > 0
                                ");
$gameid = $gamedata['id'];
$stmt->execute(array(
                                ':gameid'=>$gameid
                                ));
$players = $stmt->fetch(PDO::FETCH_ASSOC);

通过查看过去的答案，这应该可以工作，但是我遇到了以下错误：

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax 
error or access violation: 1064 You have an error in your SQL syntax; check the manual 
that corresponds to your MySQL server version for the right syntax to use near 'WHERE 
INSTR(`games`, 'crysis') > 0' at line 2' in C:\xampp\htdocs\gs\gamepage.php:19 Stack 
trace: #0 C:\xampp\htdocs\gs\gamepage.php(19): PDOStatement->execute(Array) #1 {main} 
thrown in C:\xampp\htdocs\gs\gamepage.php on line 19

它似乎也将“游戏”作为文字而不是列来抓取

我做错了什么？

Answer 1

你有一个双重WHERE：

SELECT username FROM users WHERE 
                            WHERE

您还对$gameid 做了一些有趣的事情，即设置变量after 替换，并绑定一个未使用的:gameid 参数。您还有 SQL 注入漏洞，应该真正使用参数来传递 $gameid，而不是创建动态 SQL。

Answer 2

您将单词 games 包含在“反引号”中，而不是像 {$gameid} 变量使用的“单引号”。他们可能让数据库引擎假定它是列名而不是文本。

Answer 3

$stmt = $pdo->prepare('SELECT `username` FROM `users`
        WHERE INSTR(`games`, :gameid) > 0;');

您应该在执行查询之前使用$stmt->bindValue() 或$stmt->bindParameter()。

如果 gameid 是一个 ... INTEGER ，这将不起作用！ ? ！ ?