PHP sprawdzanie kolumny

pytanie zadane 4 lipca 2022 w PHP przez AgentTecza Obywatel (1,810 p.)
edycja 4 lipca 2022 przez AgentTecza

Witam,
Napotkałem problem przy szukaniu danych w bazie danych.
Mianowicie chciałbym zrobić coś takiego w php że jeżeli wpiszesz coś w jedno pole input to później po kliknięciu przycisku wyszukuje tej informacji w bazie danych. Jeśli jest prawdziwa(znalazło takie pole w danej kolumnie) to przenosi cię na inną stronę php na której wypisuje wszystkie wartości tego całego jednego wiersza. Niestety mam jakiś problem odnośnie mojego php. Przy okazji chciałbym dowiedzieć się czy istnieje jakiś bardziej bezpieczny sposób łączenia się z bazą danych(poznałem tylko ten tradycyjny)

<form method="post">
          <input type="text" name="nem"><br/>
          <button  type="submit" name="submit">Szukaj</button>
          </form>

<?php
if(isset($_POST['submit'])){
  $w = $_POST['nem'];
  $pol = mysqli_connect("localhost","root","","test");
  $q = ("SELECT * FROM `testowynr` WHERE `Numerek` = `$w`;");
  $stmt = mysqli_stmt_init($pol);
  if(!mysqli_stmt_prepare($stmt,$q)){
    die(mysqli_error($pol));
}
mysqli_stmt_execute($stmt);
$stmt->close();
$pol->close();
}
?>

Z góry dziękuje za pomoc!

komentarz 4 lipca 2022 przez Comandeer Guru (601,590 p.)

Jakieś błędy dostajesz?

komentarz 4 lipca 2022 przez AgentTecza Obywatel (1,810 p.)

Unknown column 'w' in 'where clause'

"w" jest przykładem jeśli wpiszę coś co rzeczywiście występuje błąd jest taki sam.

2 odpowiedzi

odpowiedź 4 lipca 2022 przez Comandeer Guru (601,590 p.)
wybrane 4 lipca 2022 przez AgentTecza

Najlepsza

Problemem jest składnia zapytania – wartości otacza się w apostrofy (') lub cudzysłowy ("), nie gravisy (`). Te służą do oznaczania nazw kolumn czy tabeli. A więc:

$q = ("SELECT * FROM `testowynr` WHERE `Numerek` = '$w';");

Jednak wgl nie powinieneś wstawiać danych bezpośrednio do zapytania, zwłaszcza, że próbujesz używać prepared statements. Dobrze wykorzystane są najbezpieczniejszym sposobem odpytywania bazy danych

komentarz 4 lipca 2022 przez AgentTecza Obywatel (1,810 p.)

A jest jeszcze jakiś bardziej bezpieczny sposób połączenia bazy danych niż ten który używam ja?

1	komentarz 4 lipca 2022 przez Comandeer Guru (601,590 p.) Samego łączenia nie, ale wykonywania zapytań – tak. Poczytaj dokładnie, jak wykorzystywać prepared statements, bo obecnie robisz to, niestety, źle.