このPHPベースのSQL文の正しい構文は何ですか？

Question

私は作業として検証された次のSQL文を持っている：

INSERT INTO community_players (community_id, player_id) 
SELECT communities.id, users.id 
FROM communities INNER JOIN users ON communities.admin = users.user_email 
WHERE users.user_email = 'steve.downs@gmail.com' 
AND communities.code = 'HX99f9' 

私は今、以下のPHP関数内の変数をダミーメールや地域コードデータを交換し、それをデータベースに提出します。

これは私の関数である：

public function insertNewAdminIntoCommunity($email, $code) 
{ 
$sql = "insert into community_players (community_id, player_id) select communuities.id, users.id from communuities inner join users on communities.admin = users.user_email where users.user_email = '".$email."' and communities.code = '".$code."'"; 
$statement = $this->conn->prepare($sql); 

if(!$statement) throw new Exception($statement->error); 

$statement->bind_param("ss", $email, $code); 
$returnValue = $statement->execute(); 

return $returnValue; 
} 

それはXcodeのに戻ってエラーを投げているが - IIは、SQLステートメント内の関数内の変数を使用しようとすると、多分私は間違った構文を持っていると思いましたか？

アイデア？

おかげ

Answer 1

あなたがここにそうであるようにあなたは、SQL文字列に変数を連結するべきではありません。

users.user_email = '".$email."' and communities.code = '".$code."'"; 

それは準備文の全体の目的に反して。準備済みステートメントは、適切にエスケープされた値に置き換えられるプレースホルダを定義できるようにすることにより、SQL-injectionから保護します。

そのため、（周囲の引用符疑問符、）プレースホルダを使用する必要があります。

何 $statement->bind_param("ss", $email, $code);

users.user_email = ? and communities.code = ?"; 

はその後、2つのプレースホルダにあなたの変数をバインドされません。第1引数の各sは、それぞれの値を文字列として扱うべきであることを示します。 MySQLはこのように値を正しくエスケープします。

したがって、存在しないプレースホルダに値をバインドしようとしている可能性が最も高いエラーが発生している可能性があります。

---

1. より利用可能なオプションについてmysqli_stmt::bind_param() documentationを参照してください。

Answer 2

は、あなたはすべてのケース

$sql = "insert into community_players (community_id, player_id) 
     select communuities.id, users.id 
     from communuities 
     inner join users on communities.admin = users.user_email 
     where users.user_email = '".$email."' and communities.code = '".$code. "'"; 

に適切なテーブル名を使用していることを確認し 他でいくつかの分野でcommunuitiesやコミュニティを持っていると私は代わりに、文字列の連結をPARAMを結合で使用するPDOを示唆しています。 。（その他の接続）