为什么在mysql_query(“string”)中使用$query而不是直接查询字符串？

Question

有人可以向我解释为什么以下内容不起作用：

mysql_query("DELETE FROM `categories` WHERE `id` = '{$id}'");

而以下内容确实有效：

$query = "DELETE FROM `categories` WHERE `id` = '{$id}'";
mysql_query($query);

Answer 1

它们的工作原理应该完全相同。

试试这个：

mysql_query("DELETE FROM categories WHERE id = '{$id}'");

这对我总是有效。但有时将其放入变量中可以更轻松地使用。

Answer 2

两者没有区别。两者都容易受到 SQL 注入的攻击。您应该使用准备好的语句或mysql_real_escape_string。

Answer 3

两者之间没有功能差异，但将查询存储在单独的变量中可以更轻松地调试生成的语句。

例如

$sql = "...";
$result = mysql_query($sql);
if ($result === FALSE) {
    echo "Query failed: ", $sql, mysql_error();
}

Answer 4

我怀疑在线示例刚刚开始使用单独的 $query 变量，人们在没有真正考虑它的情况下复制了它，然后更多的示例实现了它，现在很多人都这样做，但不一定知道为什么。这就是生活。