如何使用php将日期插入mysql查询? [复制]
Posted
技术标签:
【中文标题】如何使用php将日期插入mysql查询? [复制]【英文标题】:how to insert date using php into mysql query? [duplicate] 【发布时间】:2019-12-01 08:20:30 【问题描述】:我想要做的是从 html 输入中获取日期,使用该日期执行查询。但我似乎无法弄清楚问题是什么,我做的一切都是正确的(或者我是吗?)
这里是一些代码 index.php
<head>
<script>
function showReport(str)
var xmlhttp = new XMLHttpRequest();
xmlhttp.onreadystatechange = function()
if (this.readyState == 4 && this.status == 200)
document.getElementById("report").innerHTML = this.responseText;
;
xmlhttp.open("GET", "/reports.php?q=" + str, true);
xmlhttp.send();
</script>
</head>
<body>
<p><b>Start typing a name in the input field below:</b></p>
<form>
Select Date: <input type="date" onchange="showReport(this.value)">
</form>
<p>Results: <span id="report"></span></p>
</body>
</html>
这里是ajax处理程序reports.php
// get the q parameter from URL
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "chaska";
// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);
// Check connection
if ($conn->connect_error)
die("Connection failed: " . $conn->connect_error);
$input_date=$_REQUEST['q'];
$date=date("Y-m-d",strtotime($input_date));
$sql = "SELECT `tec_sale_items`.product_name, `tec_sales`.date, sum(`tec_sale_items`.quantity) AS sum FROM `tec_sale_items` LEFT JOIN `tec_sales` ON `tec_sale_items`.sale_id = `tec_sales`.id WHERE DATE(`tec_sales`.date) = $date AS DATE group by `tec_sale_items`.product_name, DATE(`tec_sales`.date)";
$result = $conn->query($sql);
echo $date;
if ($result->num_rows > 0)
// output data of each row
while($row = $result->fetch_assoc())
echo "product: " . $row["product_name"]. " - Quantity: " . $row["sum"]. " ". "<br>";
else
echo "0 results";
$conn->close();
?>
查询不返回任何内容。当我将 $date AS DATE 替换为 CURRENT_DATE 时,查询执行得很好,但我希望特定日期也能正常工作
【问题讨论】:
【参考方案1】:以下是非法的 SQL 语法有两个原因;它在 $date 变量(它是一个字符串)周围缺少引号,并且您尝试给它一个别名(您所做的只是比较两个值,因此在这里使用别名没有什么意义)。
WHERE DATE(`tec_sales`.date) = $date AS DATE
您还应该在 MySQLi 中使用准备好的语句,如下所示。使用准备好的语句意味着您不再需要担心引用变量。
<?php
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "chaska";
// Create connection
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$conn = new mysqli($servername, $username, $password, $dbname);
// Check connection
if ($conn->connect_error)
die("Connection failed: " . $conn->connect_error);
$input_date = $_REQUEST['q'];
$date = date("Y-m-d",strtotime($input_date));
$sql = "SELECT `tec_sale_items`.product_name,
`tec_sales`.date,
sum(`tec_sale_items`.quantity) AS sum
FROM `tec_sale_items`
LEFT JOIN `tec_sales`
ON `tec_sale_items`.sale_id = `tec_sales`.id
WHERE DATE(`tec_sales`.date) = ?
GROUP BY `tec_sale_items`.product_name, DATE(`tec_sales`.date)";
$stmt = $conn->prepare($sql);
$stmt->bind_param("s", $date);
$stmt->execute();
$stmt->bind_result($product_name, $date, $sum);
if ($stmt->fetch())
do
echo "product: ".$product_name. " - Quantity: " . $sum. " <br>";
while ($stmt->fetch());
else
echo "0 results";
$stmt->close();
【讨论】:
【参考方案2】:WHERE DATE(`tec_sales`.date) = $date
在日期值周围使用单引号,否则将其计算为算术运算 - 2019-07-23 = 2012 - 23 = 1989。
正确条件:
WHERE DATE(`tec_sales`.date) = '$date'
不存在sql注入风险,因为输入值是由strtotime解析的。
【讨论】:
仅仅因为这个值是安全的,并不意味着你可以将它注入到SQL查询中。您应该以 100% 的时间使用准备好的语句为目标。【参考方案3】:你做的是对的
Select Date: <input type="text" onchange="showReport(this.value)" >
但使用文本而不是日期
【讨论】:
以上是关于如何使用php将日期插入mysql查询? [复制]的主要内容,如果未能解决你的问题,请参考以下文章
如何使用 PHP 插入查询将当前时间戳插入 MySQL 数据库