SQL構文エラー/クエリ

Question

SQL構文にエラーがあります。あなたのMySQLサーバのバージョンに対応するマニュアルをチェックし、正しい構文が1行目の '％$ _GET ["urlsearch"]'の近くで使用するようにしてください。

私は何が間違っているのかよくわかりません。何かアドバイス？

自分のデータベース（URLのData列）に対してURLを検索し、そのURLが存在するかどうかを確認しようとしています。

<form method="GET" onSubmit=""><input type="text" name"urlsearch" id="SearchURL" /><input type="submit" value="Search" /></form> 
<?php 
$hostname = * 
$username = * 
$password = * 
mysql_connect($hostname, $username, $password) or die(mysql_error()); 
mysql_select_db("tracker") or die("Unable to select database"); 
$query = 'SELECT URL FROM tracker.Data WHERE URL LIKE %$_GET["urlsearch"]'; 
$results = mysql_query($query) or die(mysql_error()); 
$row = mysql_fetch_row($results) or die(mysql_error()); 
echo "<b>[$row] </b>"; 

>

Answer 1

変更：？

$query = 'SELECT URL FROM tracker.Data WHERE URL LIKE %$_GET["urlsearch"]'; 

へ：

$query = 'SELECT URL FROM tracker.Data WHERE URL LIKE "%'.$_GET["urlsearch"].'"'; 

Answer 2

は試してみてください、

$query = "SELECT `URL` FROM `tracker.Data` WHERE `URL` LIKE '%$_GET[urlsearch]'"; 

Answer 3

このようなクエリでは、（$ _GET ["urlsearch"]を使って） "検索"しようとした場合、この場合単一引用符のような奇妙なシンボルを置くと、エラーが発生しなくなります。

これは悪用される可能性があります（SQL injection）。

mysql_real_escape_string()（および/または他の機能）を使用してこれを防止します。

Answer 4

if (isset($_GET["urlsearch"])) { 
    $search = mysql_real_escape_string($_GET["urlsearch"]); 
    $query = "SELECT URL FROM tracker.Data WHERE URL LIKE '%$search'"; 
    $results = mysql_query($query) or die(mysql_error()); 
    $row = mysql_fetch_row($results); 
    echo "<b>[$row] </b>"; 
} 

Answer 5

次の試行し動作しない場合、上記（[CSRF] [SQLインジェクション]（http://en.wikipedia.org/wiki/SQL_injection）に開放

$query = "SELECT `URL` FROM `tracker.Data` WHERE `URL` LIKE".%$_GET[urlsearch];