mysql、phpの属性を選択

Question

phpMyAdminとmysqlについて学び始めました。ここには質問があります。私は「生徒」のテーブルで何かを選択して、結果をエコーし​​ます。しかし、私がチェックすると、それは検索のための0行を返します。私はそれを私のデータベースに持っています。私は問題が何であるかを知らない

$conn = new mysqli($servername, $username, $password, $dbname); 

    $params="@name varchar(30)"; 
    $paramslist="@name='$name%"; 

    $sql = "SELECT name,address,city,birthday FROM student WHERE NAME=@NAME"; 

    $dbsql = "EXEC sp_executesql 
     N'$sql', 
     N'$params', 
     $paramslist"; 

    $result = $conn->query($sql); 
    ECHO $result->num_rows; 

： はここに私のコードです。助けてくれてありがとう。

Answer 1

$sql = "SELECT name,address,city,birthday FROM student WHERE name=".$name; 
$result = $conn->query($sql); 
echo $result->num_rows(); 

Answer 2

これは、以下のプリペアドステートメントを使用しています

// Create connection 
$conn = new mysqli($servername, $username, $password, $dbname); 

// Check connection 
if ($conn->connect_error) { 
    die("Connection failed: " . $conn->connect_error); 
} 
$name='Veshraj Joshi'; 
$stmt = $conn->prepare("SELECT name,address,city,birthday FROM student WHERE NAME=?"); 

/* bind parameters for markers */ 
$stmt->bind_param("s", $name); 

/* execute query */ 
$stmt->execute(); 

$result = $stmt->get_result(); 

/* now you can fetch the results into an array */ 
while ($student = $result->fetch_assoc()) { 

    // use your $student array as you would with any other fetch 
    echo $student['address'].'<br>'; 
} 

Answer 3

プリペアドステートメントを私のためにどのような作品です。 SQLインジェクション攻撃を防御するためには、ユーザー入力を含めるときには常にプリペアドステートメントを使用する必要があります。

たびfetch()実行は、結果はこれがあなたのクエリを実行するための非常に奇妙な方法であるbind_result()

$conn = new mysqli($servername, $username, $password, $dbname); 
$query = "SELECT name,address,city,birthday FROM student WHERE name=?"; 
$stmt = $conn->prepare($query); 
$searchTerm = "%$name%"; 
$stmt->bind_param('s', $searchTerm); 
$stmt->execute(); 
$stmt->bind_result($resultName, $resultAddress, $resultCity, $resultBirthday); 
while($stmt->fetch()) 
{ 
    echo $resultName . " " . $resultAddress . " " . $resultCity . "<br/>"; 
}