我正在尝试学习编写查询的最佳方法。我也明白保持一致的重要性。到目前为止,我随意使用单引号、双引号和反引号,没有任何真正的想法。
例子:
$query = 'INSERT INTO table (id, col1, col2) VALUES (NULL, val1, val2)';
此外,在上面的示例中,考虑 table、col1、val1 等可能是变量。
这个的标准是什么?你做什么工作?
我在这里阅读了类似问题的答案大约 20 分钟,但似乎这个问题没有明确的答案。
"tablename",而单引号用于文字,例如 'this is a some text'。标准 SQL 中从不使用反引号。 (如果您需要在标识符中包含双引号,请输入两次 "odd""tablename"。类似地,文字中的双单引号,如 'Conan O''Brien'。)
反引号用于表和列标识符,但仅在标识符为 MySQL reserved keyword 或标识符包含空白字符或超出有限集合的字符时才需要(见下文) 通常建议避免使用保留关键字尽可能作为列或表标识符,避免引用问题。
VALUES() 列表中的字符串值应使用单引号。 MySQL 也支持字符串值的双引号,但单引号被其他 RDBMS 更广泛地接受,因此使用单引号而不是双引号是一个好习惯。
MySQL 还期望 DATE 和 DATETIME 文字值被单引号作为字符串,如 '2001-01-01 00:00:00'。请参阅 the Date and Time Literals 文档了解更多详细信息,尤其是在日期字符串中使用连字符 - 作为段分隔符的替代方法。
因此,使用您的示例,我将双引号 PHP 字符串并在值 'val1', 'val2' 上使用单引号。 NULL 是 MySQL 关键字和特殊(非)值,因此不加引号。
这些表或列标识符都不是保留字或使用需要引用的字符,但我还是用反引号引用了它们(稍后会详细介绍......)。
RDBMS 的原生函数(例如 MySQL 中的 NOW())不应被引用,尽管它们的参数受制于已经提到的相同字符串或标识符引用规则。
Backtick (`)
table & column ───────┬─────┬──┬──┬──┬────┬──┬────┬──┬────┬──┬───────┐
↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓
$query = "INSERT INTO `table` (`id`, `col1`, `col2`, `date`, `updated`)
VALUES (NULL, 'val1', 'val2', '2001-01-01', NOW())";
↑↑↑↑ ↑ ↑ ↑ ↑ ↑ ↑ ↑↑↑↑↑
Unquoted keyword ─────┴┴┴┘ │ │ │ │ │ │ │││││
Single-quoted (') strings ───────────┴────┴──┴────┘ │ │ │││││
Single-quoted (') DATE ───────────────────────────┴──────────┘ │││││
Unquoted function ─────────────────────────────────────────┴┴┴┴┘
变量插值
变量的引用模式不会改变,但如果您打算直接在字符串中插入变量,则必须在 PHP 中使用双引号。只需确保您已正确转义变量以在 SQL 中使用。 (It is recommended to use an API supporting prepared statements instead, as protection against SQL injection)。
// Same thing with some variable replacements // Here, a variable table name $table is backtick-quoted, and variables // in the VALUES list are single-quoted $query = "INSERT INTO `$table` (`id`, `col1`, `col2`, `date`) VALUES (NULL, '$val1', '$val2', '$date')";
准备好的报表
使用准备好的语句时,请查阅文档以确定是否必须引用语句的占位符。 PHP、PDO 和 MySQLi 中最流行的 API 需要不带引号的占位符,其他语言中的大多数准备好的语句 API 也是如此:
// PDO example with named parameters, unquoted
$query = "INSERT INTO `table` (`id`, `col1`, `col2`, `date`) VALUES (:id, :col1, :col2, :date)";
// MySQLi example with ? parameters, unquoted
$query = "INSERT INTO `table` (`id`, `col1`, `col2`, `date`) VALUES (?, ?, ?, ?)";
在标识符中需要反引号引用的字符:
According to MySQL documentation,您不需要使用以下字符集引用(反引号)标识符:
ASCII:[0-9,az,AZ$_](基本拉丁字母,数字 0-9,美元,下划线)
您可以使用超出该集合的字符作为表或列标识符,例如包括空格,但是您必须引用(反引号)它们。
此外,虽然数字是标识符的有效字符,但标识符不能仅由数字组成。如果他们这样做,则必须将它们包裹在反引号中。
MySQL 中有两种类型的引号:
' 用于封装字符串文字 ` 用于封装标识符,例如表名和列名
然后是",这是一个特例。根据 MySQL 服务器的 sql_mode,它可以一次用于上述目的中的一个:
默认情况下," 字符可用于包含字符串文字,就像 ' 在 ANSI_QUOTES 模式下," 字符可以用于包含标识符,就像 `
以下查询将根据 SQL 模式产生不同的结果(或错误):
SELECT "column" FROM table WHERE foo = "bar"
ANSI_QUOTES 已禁用
查询将选择字符串文字 "column",其中列 foo 等于字符串 "bar"
ANSI_QUOTES 已启用
查询将选择列 column,其中列 foo 等于列 bar
什么时候用什么
我建议您避免使用 " 以便您的代码独立于 SQL 模式
总是引用标识符,因为这是一种很好的做法(关于 SO 的很多问题都在讨论这个)
' 用于字符串," 用于标识符并且不要使用反引号。遵守标准总是好的
ANSI_QUOTES 的其他人:SET SESSION sql_mode = 'ANSI_QUOTES'; or SET SESSION sql_mode = 'ANSI';。然后您可以 SELECT @@SESSION.sql_mode; 检查该值。如果要恢复到默认值,MySQL 5.7 的默认值为:SET SESSION sql_mode = 'ONLY_FULL_GROUP_BY,STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION';
(关于您的问题的 SQL 性质,上面有很好的答案,但如果您是 PHP 新手,这也可能是相关的。)
也许值得一提的是,PHP 以不同的方式处理单引号和双引号字符串......
单引号字符串是“文字”,几乎是所见即所得的字符串。双引号字符串被 PHP 解释为可能的变量替换(PHP 中的反引号不完全是字符串;它们在 shell 中执行命令并返回结果)。
例子:
$foo = "bar";
echo 'there is a $foo'; // There is a $foo
echo "there is a $foo"; // There is a bar
echo `ls -l`; // ... a directory list
反引号通常用于表示 identifier,并且可以安全避免意外使用 Reserved Keywords。
例如:
Use `database`;
这里的反引号将帮助服务器理解 database 实际上是数据库的名称,而不是数据库标识符。
表名和字段名也可以这样做。如果你用反引号包裹你的数据库标识符,这是一个非常好的习惯。
检查此答案以了解有关反引号的更多信息。
现在关于双引号和单引号(迈克尔已经提到过)。
但是,要定义一个值,您必须使用单引号或双引号。让我们看另一个例子。
INSERT INTO `tablename` (`id, `title`) VALUES ( NULL, title1);
在这里,我故意忘记用引号将 title1 括起来。现在服务器会将 title1 作为列名(即标识符)。因此,要表明它是一个值,您必须使用双引号或单引号。
INSERT INTO `tablename` (`id, `title`) VALUES ( NULL, 'title1');
现在,结合 PHP,双引号和单引号使您的查询编写时间变得更加容易。让我们在您的问题中查看查询的修改版本。
$query = "INSERT INTO `table` (`id`, `col1`, `col2`) VALUES (NULL, '$val1', '$val2')";
现在,在 PHP 中使用双引号,您将使变量 $val1 和 $val2 使用它们的值,从而创建一个完全有效的查询。喜欢
$val1 = "my value 1";
$val2 = "my value 2";
$query = "INSERT INTO `table` (`id`, `col1`, `col2`) VALUES (NULL, '$val1', '$val2')";
会让
INSERT INTO `table` (`id`, `col1`, `col2`) VALUES (NULL, 'my value 1', 'my value 2')
在 MySQL 中,这些符号用于分隔查询 ` 、" 、' 和 () 。
" 或 ' 用于包含类似字符串的值 "26-01-2014 00:00:00" 或 '26-01-2014 00:00:00' 。这些符号仅用于字符串,而不是像现在这样的聚合函数, sum, or max. ` 用于包含表或列名,例如 select `column_name` from `table_name` where id='2' ( 和 ) 简单地包含查询的部分例如 select `column_name` from `table_name` where ( id='2' 和 gender='male') 或 name='rakesh' 。
MySQL 和 PHP 中的字符串文字是相同的。
字符串是由单引号 (“'”) 或双引号 (“"”) 字符括起来的字节或字符序列。
因此,如果您的字符串包含单引号,那么您可以使用双引号来引用字符串,或者如果它包含双引号,那么您可以使用单引号来引用字符串。但是,如果您的字符串同时包含单引号和双引号,则需要转义用于引用该字符串的那个。
大多数情况下,我们对 SQL 字符串值使用单引号,因此我们需要对 PHP 字符串使用双引号。
$query = "INSERT INTO table (id, col1, col2) VALUES (NULL, 'val1', 'val2')";
你可以在 PHP 的双引号字符串中使用一个变量:
$query = "INSERT INTO table (id, col1, col2) VALUES (NULL, '$val1', '$val2')";
但是如果 $val1 或 $val2 包含单引号,那将使您的 SQL 出错。所以在sql中使用之前需要先对其进行转义;这就是 mysql_real_escape_string 的用途。 (虽然准备好的语句更好。)
这里有很多有用的答案,通常总结为两点。
BACKTICKS(`) 用于标识符名称。单引号(')用于值周围。
正如@MichaelBerkowski 所说
反引号用于表和列标识符,但仅当标识符是 MySQL 保留关键字,或者标识符包含空白字符或超出有限集合的字符时才需要(见下文) 通常建议避免使用保留关键字尽可能作为列或表标识符,避免引用问题。
在某些情况下,标识符既不能是保留关键字,也不能包含空格或超出限制集的字符,但必须在它们周围加上反引号。
例子
123E10 是一个有效的标识符名称,但也是一个有效的 INTEGER 文字。
[不详细说明如何获得这样的标识符名称],假设我想创建一个名为 123456e6 的临时表。
反引号没有错误。
DB [XXX]> create temporary table `123456e6` (`id` char (8));
Query OK, 0 rows affected (0.03 sec)
不使用反引号时出错。
DB [XXX]> create temporary table 123451e6 (`id` char (8));
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '123451e6 (`id` char (8))' at line 1
但是,123451a6 是一个非常好的标识符名称(没有反引号)。
DB [XXX]> create temporary table 123451a6 (`id` char (8));
Query OK, 0 rows affected (0.03 sec)
这完全是因为 1234156e6 也是一个指数数。
结合 PHP 和 MySQL,双引号和单引号使您的查询编写时间变得更加轻松。
$query = "INSERT INTO `table` (`id`, `col1`, `col2`) VALUES (NULL, '$val1', '$val2')";
现在,假设您在 MySQL 查询中使用直接 post 变量,然后以这种方式使用它:
$query = "INSERT INTO `table` (`id`, `name`, `email`) VALUES (' ".$_POST['id']." ', ' ".$_POST['name']." ', ' ".$_POST['email']." ')";
这是在 MySQL 中使用 PHP 变量的最佳实践。
如果表 cols 和 values 是变量,那么有两种方法:
使用双引号 "" 完整查询:
$query = "INSERT INTO $table_name (id, $col1, $col2)
VALUES (NULL, '$val1', '$val2')";
或者
$query = "INSERT INTO ".$table_name." (id, ".$col1.", ".$col2.")
VALUES (NULL, '".$val1."', '".$val2."')";
使用单引号 '':
$query = 'INSERT INTO '.$table_name.' (id, '.$col1.', '.$col2.')
VALUES (NULL, '.$val1.', '.$val2.')';
当列/值名称类似于 MySQL 保留关键字时,使用反引号 ``。
注意:如果您用表名表示列名,则使用反引号,如下所示:
`table_name`。 `column_name` <-- 注意:从反引号中排除 .。
单引号应该用于字符串值,如 VALUES() 列表中。
反引号通常用于指示标识符,并且可以防止意外使用保留关键字。
结合 PHP 和 MySQL,双引号和单引号使您的查询编写时间变得更加轻松。
除了所有(解释清楚的)答案之外,没有提到以下内容,我经常访问此问答。
简而言之; MySQL 认为您想对其自己的表/列进行数学运算,并将诸如“电子邮件”之类的连字符解释为 e minus mail。
免责声明:所以我想我会将其添加为“仅供参考”类型的答案,适用于那些完全不熟悉使用数据库并且可能不理解已经描述的技术术语的人。
SQL 服务器和 MySQL、PostgreySQL、Oracle 不理解双引号 (")。因此您的查询应该没有双引号 ("),并且应该只使用单引号 (')。
Back-trip(`) 在 SQL 中是可选的,用于表名、数据库名和列名。
如果您尝试在后端编写查询以调用 MySQL,那么您可以使用双引号 (") 或单引号 (') 将查询分配给如下变量:
let query = "select id, name from accounts";
//Or
let query = 'select id, name from accounts';
如果您的查询中有 where 语句和/或尝试 insert 值和/或 update 值(字符串),请使用单引号(')来表示这些值,例如:
let querySelect = "select id, name from accounts where name = 'John'";
let queryUpdate = "update accounts set name = 'John' where id = 8";
let queryInsert = "insert into accounts(name) values('John')";
//Please not that double quotes are only to be used in assigning string to our variable not in the query
//All these below will generate error
let querySelect = 'select id, name from accounts where name = "John"';
let queryUpdate = 'update accounts set name = "John" where id = 8';
let queryInsert = 'insert into accounts(name) values("John")';
//As MySQL or any SQL doesn't understand double quotes("), these all will generate error.
如果您想在使用双引号(“)和单引号(')时避免这种混乱,建议坚持使用单引号('),这将包括反斜杠(),如:
let query = 'select is, name from accounts where name = \'John\'';
当我们必须动态分配一些值并执行一些字符串连接时,就会出现双(“)或单(')引号的问题,例如:
let query = "select id, name from accounts where name = " + fName + " " + lName;
//This will generate error as it must be like name = 'John Smith' for SQL
//However our statement made it like name = John Smith
//In order to resolve such errors use
let query = "select id, name from accounts where name = '" + fName + " " + lName + "'";
//Or using backslash(\)
let query = 'select id, name from accounts where name = \'' + fName + ' ' + lName + '\'';
如果需要进一步的许可,请遵循quotes in JavaScript
有时不使用引号很有用...因为这可以突出生成查询的代码中的问题...例如:
其中 x 和 y 应始终为整数...
从 table 中选择 *,其中 x= 和 y=0
是 SQL 语法错误吗……有点懒,但很有用……
简单来说:
引号(单引号和双引号)用于字符串周围。
反引号用于表和列标识符周围。
一起实现单引号和双引号:
~ 如果我们想实现这个,
https://i.stack.imgur.com/lPGYV.png
尝试这个,
选择“他们发现本教程很有帮助”
~ 想要实现这个:
https://i.stack.imgur.com/q0Is5.png
尝试这个,
SELECT '他们已回复,“我们发现本教程很有帮助”'
完整说明:
https://i.stack.imgur.com/t4eX8.png
:whatever上,那就更可爱了。 ATB史蒂夫