Usare single quotes in una query mySQL con PDO partendo da un array e senza prepared statements

**supersqualo** · 24-01-2018, 14:55

Originariamente inviata da boots

Ma quindi la query non ti da errore? se fai:

Codice PHP:


...
$result = $stmt->execute();
if($result){
  echo "Query ok";
}else{
  echo "Query ko";
}

Sisi funziona ottengo Query ok.
Viene eseguita completamente perchè la query si chiude e si riapre ovvero 'D'Angelo'
Si chiude alla D si riapre alla fine di Angelo
Quindi viene completata ma ottengo 0 perche ovviamente la query non essendo completa cerca solo la D (WHERE Farmacia = D)

Originariamente inviata da boots

Cosa hai per la query con l'apice ?

In che senso?

**boots** · 24-01-2018, 14:58

Originariamente inviata da supersqualo

In che senso?

Volevo sapere se per D'Angelo hai un query ok o ko ?

A questo punto sei sicuro che effettivamente ci sia questo record?

**optime** · 24-01-2018, 15:02

ancora qua state? usate la funzione FixSQL che vi è stata segnalata all'inizio...

**supersqualo** · 24-01-2018, 15:05

Originariamente inviata da optime

ancora qua state? usate la funzione FixSQL che vi è stata segnalata all'inizio...

E come?
E se volessi utilizzare i prepared statements?
Io nn riesco ad usare FixSQL e poi non capisco perchè dovrei sostituire la single quote con la double quote visto che nel database ho l'elemento con la single quote?

Di conseguenza la query andrebbe a cercare D"Angelo nel database e non D'Angelo.
Otterrei comunque 0 come risultato

Originariamente inviata da boots

Volevo sapere se per D'Angelo hai un query ok o ko ?

A questo punto sei sicuro che effettivamente ci sia questo record?

Sono certo che ci sia D'angelo nei record (è un calendario turni quindi ogni tot giorni ricompare) tant'è vero che io voglio contare quanti turni abbiano assegnato ad ognuno

**optime** · 24-01-2018, 15:16

no, non ti è chiaro il meccanismo

questo statement

SELECT * FROM Clienti WHERE Cognome='D'Angelo'

va in errore perché il parser SQL riconosce

SELECT * FROM Clienti WHERE Cognome='D'

e non sa che farsene di Angelo'

se invece scrivi

SELECT * FROM Clienti WHERE Cognome='D''Angelo'

il parser vedi i due apici consecutivi e capisce che lo statement non finisce lì ma al prossimo apice; sul db cerca D'Angelo

(qui siamo alle basi di SQL...)

qui una spiega di prepared statements https://www.w3schools.com/php/php_my...statements.asp

qui la differenza tra prepared statements e parametrized queries

https://www.google.it/search?q=prepa...erized+queries

**supersqualo** · 24-01-2018, 15:20

Originariamente inviata da optime

no, non ti è chiaro il meccanismo

questo statement

SELECT * FROM Clienti WHERE Cognome='D'Angelo'

va in errore perché il parser SQL riconosce

SELECT * FROM Clienti WHERE Cognome='D'

e non sa che farsene di Angelo'

se invece scrivi

SELECT * FROM Clienti WHERE Cognome='D''Angelo'

il parser vedi i due apici consecutivi e capisce che lo statement non finisce lì ma al prossimo apice; sul db cerca D'Angelo

(qui siamo alle basi di SQL...)

qui una spiega di prepared statements https://www.w3schools.com/php/php_my...statements.asp

qui la differenza tra prepared statements e parametrized queries

https://www.google.it/search?q=prepa...erized+queries

Perfetto, non lo sapevo...adesso è chiaro, l'ho testato ed hai ragione... ma se scrivo la funzione cosi

function FixSQL( $array )
{
$stringa = serialize($array);
// error_log($stringa, 0);
$stringa = str_replace("'", "''" , $stringa);
$stringa = str_replace("%", "[%]", $stringa);
$stringa = str_replace("[", "[[]", $stringa);
$stringa = str_replace("]", "[]]", $stringa);
$stringa = str_replace("_", "[_]", $stringa);
$stringa = str_replace("#", "[#]", $stringa);
// error_log($stringa, 0);
return unserialize($stringa);
}

foreach ($stringa as $example){

$count= $pdo->query("SELECT COUNT(column) FROM $tableexample WHERE column='$example'");
foreach ($count as $row) { echo $ok, $row[0],"<br>";
}

Non funziona!

**supersqualo** · 24-01-2018, 15:23

Cosa sbaglio?
Se volessi utilizzare le parameterized queries come dovrei fare?

**optime** · 24-01-2018, 15:30

aridajela: la funzione la dichiari ma non la usi!

https://www.google.it/search?q=how+t...nctions+in+php

**supersqualo** · 24-01-2018, 16:41

Originariamente inviata da optime

aridajela: la funzione la dichiari ma non la usi!

https://www.google.it/search?q=how+t...nctions+in+php

Secondo quest'esempio
https://www.w3schools.com/php/showph...demo_function2

Così dovrebbe funzionare.... e invece no...

codice:

  function FixSQL( $param )
  {
    $stringa = serialize($param);
    // error_log($stringa, 0);
    $stringa = str_replace("'", "''" , $stringa);
    $stringa = str_replace("%", "[%]", $stringa);
    $stringa = str_replace("[", "[[]", $stringa);
    $stringa = str_replace("]", "[]]", $stringa);
    $stringa = str_replace("_", "[_]", $stringa);
    $stringa = str_replace("#", "[#]", $stringa);
    // error_log($stringa, 0);
    return unserialize($stringa);
  }
    FixSQL("D'Angelo");

Purtroppo come ho già scritto non ne capisco molto però questa dovrebbe essere la sintassi esatta...
Ma nn funziona!

Non funziona nemmeno cosi
http://sandbox.onlinephpfunctions.com/code/7f47f28bcd913fba2761f923cfba955f9a72be87

codice:

  function FixSQL( $param )
  {
    $stringa = $param;
    $stringa = str_replace("'", "''" , $stringa);
  }
FixSQL("D'Angelo");

**boots** · 24-01-2018, 17:36

Guarda basta che fai:

Codice PHP:


$array = FixSQL($array);
foreach($array as $example){
   ...
}

Cmq, non mi spiego perchè non ti funzioni $pdo->quote()

Discussione: Usare single quotes in una query mySQL con PDO partendo da un array e senza prepared statements

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio