mysql：撇号不从数据库中的varchar列读取？

Question

我有new_supplier_request如下表：

Id | ref | User | Manager (Varchar) 
1  12  James  Henry O'Brien 

我也有我的internal_users表：

Id | User_firs_name | user_last_name(Varchar)  
1  Henry    O'Brien 

我使用下面的MySQL查询给经理的权限（谁是登录）到如果在我的new_supplier_request表的manager列中出现管理员名称，则查看一些内容

$_SESSION['username'] = internal_users.user_first_name 
$_SESSION['username2'] = internal_users.user_last_name 
$user = $_SESSION['username']." ".$_SESSION['username2']; 

$sql34 = "select * from new_supplier_request, internal_users where new_supplier_request.status!= 'complete' and new_supplier_request.action_taken ='none' AND new_supplier_request.user_id = internal_users.user_id AND requestee_manager = '$user'"; 
$result = $conn->query($sql34); 

由于某种原因，如果姓氏不包含撇号，这可以正常工作，但由于某些原因，当我检查我的查询时，此经理的姓氏是O'Brien，因此无法阅读名称中的撇号，如果我把亨利的姓改成詹姆斯那样的话，那么它就会起作用。有人能解释我做错了什么吗？由于

Answer 1

检查这一项：

$_SESSION['username'] = mysqli_real_escape_string($conn, internal_users.user_first_name); 
$_SESSION['username2'] = mysqli_real_escape_string($conn, internal_users.user_last_name); 

Answer 2

通$conn->real_escape_string($user)而不是在查询$user。您不应该直接在查询中使用变量值，也不要强制使用类型或转义它们，因为您将使代码易受SQL注入攻击的影响。

Answer 3

您应该考虑使用PDO的用绑定参数准备好的语句。

这样，你的请求会更安全，并且应该解决很多字符串参数问题。

$query = $pdo->prepare(' 
select * 
from new_supplier_request, internal_users 
where new_supplier_request.status <> :status 
and new_supplier_request.action_taken = :action_taken 
AND new_supplier_request.user_id = internal_users.user_id 
AND requestee_manager = :user 
'); 

$query->bindValue(':status', 'complete'); 
$query->bindValue(':action_taken', 'none'); 
$query->bindValue(':user', $user); 

$query->execute(); 

$results = $query->fetchAll();