为什么SQL/PHP中的这个查询不起作用？

Question

我有这个在php中进行的SQL查询。但查询在ERROR中解除。如果删除此AND first_name LIKE '{$first_name}%'，它工作正常，并产生正确的输出。我无法关注下面的语法有什么问题。 任何帮助将不胜感激。由于

$db = new PDO("mysql:dbname=newbie"); 
      $first_name=$_GET["firstname"]; 
      $first_name =$db->quote($first_name); 
      $last_name=$_GET["lastname"]; 
      $last_name=$db->quote($last_name); 
      $rows=$db->query("SELECT id,first_name FROM actors WHERE last_name=$last_name AND first_name LIKE '{$first_name}%' ORDER BY film_count DESC LIMIT 1"); 

Answer 1

我认为这可能是因为你错过了$lastname引号，因为它是一个文本字段。

$db = new PDO("mysql:dbname=newbie"); 
      $first_name=$_GET["firstname"]; 
      $first_name =$db->quote($first_name); 
      $last_name=$_GET["lastname"]; 
      $last_name=$db->quote($last_name); 
      $rows=$db->query("SELECT id,first_name FROM actors WHERE last_name='{$last_name}' AND first_name LIKE '{$first_name}%' ORDER BY film_count DESC LIMIT 1"); 

Answer 2

你没有正确使用PDO，并暴露自己的大量SQL injection bugs风险。使用占位符和逃避你的数据：

$sth = $db->prepare("SELECT id,first_name FROM actors WHERE last_name=:lastname AND first_name LIKE :first_name ORDER BY film_count DESC LIMIT 1"); 
$result = $db->execute(array("firstname" => "%" . $_GET["firstname"] . "%", "lastname" => $_GET["lastname"])); 

有许多方法可以做到这一点，所有的various tutorials描述。

Answer 3

您可以移除'$ first_name'周围的'{'和'}'。当变量位于双引号内时，它们不应该是必需的。