wyciąganie danych z tabeli

pytanie zadane 11 grudnia 2016 w PHP przez Adkins1 Nowicjusz (150 p.)

Dzień dobry wszystkim. Mam problem z wyciągnięciem numerów ID pytań o danej kategorii. Kategoria przychodzi AJAXem z pliku html - zapisana jest jako string w zmiennej $kategoria.
Moim problemem póki co jest wykonanie kwerendy, tak aby dała mi jakikolwiek wynik. W przykładzie chcę wyświetlić ilość rekordów, które to spełniają wymaganie WHERE.
Przykład: Klikam w kategorię 'general' -> w bazie jest 8 rekordów o kategorii 'general' -> wyświetlam ich ilość.
Zamiast tego wyskakuje błąd - Unknown column 'general' in 'where clause'
Skrypt:

<?php
$kategoria = @strval($_GET['q']);

$con = mysqli_connect('localhost','root','','baza01');
if (!$con) {
    die('Could not connect: ' . mysqli_error($con));
}

mysqli_select_db($con,"ajax_demo");
$sql="SELECT id_pyt FROM tabela01 WHERE kategoria=" .$kategoria. "";

if($result = mysqli_query($con,$sql))

{
	$row_count = mysqli_num_rows($result);
	echo $row_count ;
    mysqli_free_result($result);
}	
else echo mysqli_error($con);

mysqli_close($con);

?>

Baza:

1 odpowiedź

odpowiedź 11 grudnia 2016 przez Arkadiusz Waluk Ekspert (287,950 p.)
wybrane 11 grudnia 2016 przez Adkins1

Najlepsza

$sql="SELECT id_pyt FROM tabela01 WHERE kategoria=" .$kategoria. "";

Skoro pod $kategoria masz stringa to wstawiając go do zapytania wypadałoby potraktować go jak stringa, czyli np. wstawić w apostrofy.

ALE od razu zaznaczam, że jest to niezbyt dobry sposób, gdyż Twój kod nie jest w ogóle zabezpieczony przed sql injection. Polecam bindowanie, to właściwie pewne zabezpieczenie.

1	komentarz 11 grudnia 2016 przez Adkins1 Nowicjusz (150 p.) Dzięki wielkie, to mi otwiera drogę do pisania dalej. Brak zabezpieczeń jest wynikiem poszukiwania błędu i upraszczania zapisu do minimum. Wypróbuję również bindowanie!