如何使用SQL查询中的查询进行查询

Question

好吧，真的很复杂的标题，让我解释一下。

我试图插入SQL查询到我的SQL数据库，例如

INSERT INTO sample_db(query) VALUES ('SELECT * FROM users WHERE id={$userID}')

再后来就从另一个PHP文件，我会做这样的事情：

mysqli_query($queryfromabove); 

的问题是PHP变量不被通过。 （它存在于我称之为的文件中）我知道这非常非正统，可能不推荐，但是有没有人知道这样做？

如这里要求的实际代码：

$sql="INSERT INTO awards(name,image,query,clm,type,number) VALUES ('".$_POST['name']."','".$_POST['image']."','".$_POST['query']."','".$_POST['column']."','".$_POST['condition']."','".$_POST['number']."')"; 
    mysqli_query($conn,$sql); 

我赞同所有的职位，并知道他们有正确的数据。最重要的POST变量这里，为$ _ POST [ '查询']，因为它包含：

SELECT * FROM crts WHERE id='$crtid' 

然后，从另一个文件（原谅马虎的变量名，这是一个WIP）：

$that = mysqli_fetch_assoc(mysqli_query($conn,"SELECT * FROM awards WHERE id=2")); 
echo $that['query'].'<br>'; 
$crtid = $_SESSION['crt']['id']; 
$query = $that['query']; 
$thisquery = mysqli_query($conn,$query); 
$finally = mysqli_fetch_assoc($thisquery); 
print_r($finally); 

ID 2是我插入所有帖子的sql结果的ID。

Answer 1

使用准备好的语句。把下面的DB：

INSERT INTO sample_db(query) VALUES ('SELECT * FROM users WHERE id=?') 

然后，当您要执行它，你先准备好它的参数变量绑定，并执行它。

$stmt = mysqli_prepare($conn, $queryfromabove); 
mysqli_stmt_bind_param($stmt, "s", $userID); 
mysqli_stmt_execute($stmt); 

如果您需要能够替代任何变量，你可以使用preg_replace_callback全部更换{$variable}与相应的全局变量的值的字符串中。

$sql = preg_replace('/\{\$(\w+)\}/', function($matches) use ($conn) { 
    return mysqli_real_escape_string($conn, $GLOBALS[$matches[1]]); 
}, $queryfromabove); 
mysqli_query($conn, $sql); 

Answer 2

允许存储SQL查询字符串将使数据库暴露于恶意攻击。请考虑使用存储过程 - 这是MySQL的一个例子。 http://dev.mysql.com/doc/connector-net/en/connector-net-tutorials-stored-procedures.html