Problem mit SQL-Anweisung mit PHP

Question

ich derzeit versuche, Daten von MYSQL zu ziehen mit PHP und ich immer die folgende Fehlermeldung erhalten:

„Es konnte keine Datensätze abrufen: Sie haben einen Fehler in der SQL-Syntax; Scheck das Handbuch, das für die richtige Syntax zu Ihrem MySQL-Server-Version entspricht bei '% PC4198% OR LIKE% Fluke% oEM' zu verwenden, in Zeile 1 "

My SQL-Anweisung lautet wie folgt:

$sql = "SELECT * FROM account WHERE `NSC ID` LIKE %".$nscid."% OR oem LIKE %".$oem."%"; 

Jede Hilfe wird sehr geschätzt ed.

Answer 1

sollten Ihre Strings angegeben werden:

$sql = "SELECT * FROM account WHERE NSC ID LIKE '%".$nscid."%' OR oem LIKE '%".$oem."%'"; 

Das heißt, sollten Sie wirklich in Betracht ziehen PDO oder ein ORM verwenden.

Edit:

Der wichtigste Punkt der Verwendung von PDO ist, als Bill sagte, SQL-Injection (verursacht durch möglicherweise verschmutzt Strings in SQL verketten) zu verhindern.

Die gleiche Abfrage, in PDO Stil würde sein:

$query = $connection->prepare('SELECT * FROM account WHERE NSCID LIKE :nscid OR oem LIKE :orm'); 
$query->bindValue(':nscid', '%'.$nscid.'%', PDO::PARAM_STR); 
$query->bindValue(':oem', '%'.$oem.'%', PDO::PARAM_STR); 

Es ist etwas mehr Code, aber es wird Sie von den meisten schützen (alle?) SQL-Injektionen, durch die Bibliothek lassen die entweichenden tun.

(Die Parametertypen für bindValue optional sind, aber gute Praxis.)

Answer 2

sogar noch besser, die Operatoren {und} können Sie erlauben diese

$sql="SELECT * FROM account WHERE NSC ID Like '%{$nscid}%' OR oem LIKE '%{$oem}%'"; 

Sie das nicht tun müssen, {} wenn es ein einzelne var so, aber wenn Sie ein Objekt verwenden Sie sie brauchen:

$hi_example="yarg i am a {$person->type}";