Something is wrong in your syntax obok podczas UPDATE bazy

Question

Cześć, podczas aktualizowania bazy danych wyrzuca mi błąd

 

Błąd serweraException: Something is wrong in your syntax obok ''usertitle' = 'yyy' WHERE uid = '1'' w linii 1 in

 

kod

 

try {
		$polaczenie = new mysqli($host, $db_user, $db_password, $db_name);
		if ($polaczenie->connect_errno != 0) {
			throw new Exception(mysqli_connect_errno());
		} else {
			switch($_GET['action']) {
				case "login":
					$action = "login";
					$titleOfChange = "Zmień login";
					$html = '<label>Wprowadź nowy login <input type="text" name="newValue"></label><input type="submit" value="Zatwierdź">';
				break;
				case "email":
					$action = "email";
					$titleOfChange = "Zmień adres e-mail";
					$html = '<label>Wprowadź nowy adres e-mail <input type="text" name="newValue"></label><input type="submit" value="Zatwierdź">';
				break;
				case "avatar":
					$action = "avatar";
					$titleOfChange = "Wybierz nowy avatar";
					$html = 'chwilowo brak';
				break;
				case "signature":
					$action = "signature";
					$titleOfChange = "Edytuj sygnaturę";
					$html = '<label>Twoja sygnatura <textarea type="text" name="newValue"></textarea></label><input type="submit" value="Zatwierdź">';
				break;
				case "title":
					$action = "usertitle";
					$titleOfChange = "Zmień swój tytuł użytkownika";
					$html = '<label>Twój tytuł użytkownika <input type="text" name="newValue"></label><input type="submit" value="Zatwierdź">';
				break;
			}

			echo '<div class="titleOfChange">'.$titleOfChange.'</div>';
			echo $html;

			if (isset($_POST['newValue'])) {
				$newValue = $_POST['newValue'];
				$newValue = htmlentities($newValue, ENT_QUOTES, "UTF-8");
				if ($zapytanie = $polaczenie->query(sprintf("UPDATE users SET '$action' = '%s' WHERE uid = '$userId'",mysqli_real_escape_string($polaczenie, $newValue)))) {
					echo "Zmieniono";
				} else {
					throw new Exception($polaczenie->error);
				}
			}

			
		}
	}
	catch (Exception $e) {
		echo "Błąd serwera".$e;
	}

 

IMO zapytanie wygląda dobrze, ale może to już ta godzina żeby iść spać

Answer 1

Możliwe że id jest liczbą

Comments

No tak, komórka uid to jest INT, a jak dodałem echo $userId; to wyświetla mi 1 (konto admina, na którym jestem na ID 1) i tak chyba być powinno.

 

Sprawdziłem teraz typ obydwu zmiennych używanych w zapytaniu

$action - string

$userId - string

przekształciłem go na integer $userId = (int) $userId;

ale i tak ciągle ten sam błąd

Answer 2

Rozwiazane, nie wiem dlaczego, ale wystarczyło z zapytania usunąć ' ' ze zmiennych

if ($zapytanie = $polaczenie->query(sprintf("UPDATE users SET $action = '%s' WHERE uid = $userId",mysqli_real_escape_string($polaczenie, $newValue)))) {
					echo "Zmieniono";
				}

 

Dlaczego tak działa? Zmienne nie powinny być w apostrofach?

Comments

Nie ma znaczenia czy to jest zmienna czy wpisany by był tam tekst. Chodzi o to, że nazwy kolumn wpisujemy albo w ` (nazywany odwróconym apostrofem) albo bez niczego. W cudzysłowy/apostrofy wstawiamy wartości. Inna sprawa, że wartości jeszcze lepiej bindować do zapytania, wtedy mamy pewne zabezpieczenie przed sql injection.

---

Nazwa kolumny jest bez niczego, więc chyba dobrze, tylko nie rozumiem dlaczego

te zapytanie zadziałało

"UPDATE users SET $action = '%s' WHERE uid = $userId"

a te nie 

UPDATE users SET '$action' = '%s' WHERE uid = '$userId'"

 

Mógłbyś podać prosty przykład jak w takim razie powinny wyglądać zapytania? Kiedy używać cudzysłowu, apostrofu i czy te kolumny zapisywać w odwróconym apostrofie, czy moga być bez niczego, tak jak w powyższych zapytaniach ?

---

Przecież napisałem, chodzi o nazwę kolumny w apostrofie. W tym, które nie działało, miałeś SET '$action' = ... a w tym które działa masz SET $action = ...