Как вставить переменные в sql запрос на php?

автор переменную не может найти, куда там до PDO

Сделал как вы говорите, результат Query was empty;

$querySell = ("
SELECT * FROM mytable
WHERE city = ".$city."
AND price <= ".$price."
AND price >= ".$price2."
AND type = 'Продать'
;
");

Григорий Дидус: вызов mysql_query происходит сразу после формирования переменной запроса?

Дмитрий С: делал и сразу и перед. Ничего не помогло.

Григорий Дидус: $querySell = ("
SELECT * FROM mytable
WHERE city = '".$city."'
AND price <= '".$price."'
AND price >= '".$price2."'
AND type = 'Продать'
;
");

Григорий Дидус: если еще актуально, покажите пожалуйста весь код)

Дмитрий С: спасибо, вопрос был решен через начало всего с нового листа, и правильным экранированием переменных.

я только учусь и не знаю что такое PDO. Вы можете привести четкий пример вставки переменной в sql запрос?

Да, конечно.
Сначала подключаемся:
<?php
$dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
//Затем, готовим запрос:
$stmt = $dbh->prepare("SELECT * FROM mytable WHERE city=:city AND price<=:price1 AND price>=price2 AND type=:type");
//Суть в том что движок PDO за нас заменит все, что начинается с : на нужные переменные. Укажем ему на какие именно:
$stmt->bindParam(':city', $city);
$stmt->bindParam(':price1', $price1);
$stmt->bindParam(':price2', $price2);
$stmt->bindParam(':type', $type);
//Теперь можно присвоить значения переменным:
$city = $_POST[city];
$type="Продать";
$price1 = ($_POST[price]) + 50;
$price2 = ($_POST[prise]) - 50;
//Осталось только выполнить запрос:
$stmt->execute(array($name));
//И получить его результат:
$data = $stmt->fetchAll();
var_dump($data);
?>

unclefeudorsnew: спасибо!

Григорий Дидус: Рекомендую попробовать, ибо по памяти писал

unclefeudorsnew:
результат

Warning: PDOStatement::execute() [pdostatement.execute]: SQLSTATE[HY093]: Invalid parameter number: number of bound variables does not match number of tokens in Z:\home\localhost\www\job\db22.php on line 16
array(0) { }

FanatPHP: не любите вы новичков. Я сам учусь 4 месяца дома и много чего не понимаю и еще не знаю. Это не значит что все, кто не знает - обезьяны.

Григорий Дидус: те, кто не знают, но лезут советовать другим - еще похуже обезьян. Впрочем, здесь я свои претензии удалил.

Григорий Дидус: в целом могу вам посоветовать замечательную обертку от хабражителя: habrahabr.ru/post/119294

изначально их небыло, я перебирал все что знал, добавлял и менял местами "( )" и менял местами " " -> ' '. Результата не было.

обратите внимание на 5 пункт, очень похоже на него.

var_dump($querySell) ----------- NULL.

Григорий Дидус: ну дык разберитесь почему в этом месте она не определена. либо дайте полный кусок кода

olamedia .: пункт 5 - не годится, там нету опечатки. Проверил.

Григорий Дидус: в пятом пункте не только опечатки, а еще область видимости.
т.е. переменная определена в месте, недоступном для mysql_query. либо вообще не была определена, если какое-то условие не выполнилось
например, if (условие не выполнилось){ $querySell = "..."; } mysql_query($querySell);

olamedia .:
вот файл index.php

<?php
	$host = "localhost";
	$pass = "qwerty";
	$user = "suicide676";
?>	

<?php
	echo "<hr>";
	echo $_POST[sell] . "<br>";
	echo $_POST[buy] . "<br>";
	echo $_POST[city] . "<br>";
	echo $_POST[area] . "<br>";
	echo $_POST[price] . "<br>";
	
	?>

<html>
<head>
	<meta charset="utf-8">
	<title>Фильтр</title>
	<link href="style.css" type="text/css" rel="stylesheet">
	<script type="text/javascript">
		
		
		function disableArea(){
			//alert ('disable area');
			var ar = document.getElementById('area');	
				ar.disabled = true;
				return false;
				
		}		
				
		
		function disablePrice(){
			//alert ('disable price');
			var pr = document.getElementById('price');
				pr.disabled = true;
				return false;	
		}

		function start (){
			var buy = document.getElementById('buy');
			var sell = document.getElementById('sell');
			var area = document.getElementById('area');
			var price = document.getElementById('price');
				buy.onclick = disableArea;
				sell.onclick = disablePrice;
		}


		window.onload = start;
		
	</script>
</head>
<body>
<div id="container">	
	<div id="filter">
<form id="tab" method="POST" action="<?php $_SERVER['REQUEST_METHOD'] ?>">
		<button id="buy" name="buy">Купить</button>
		<button id="sell" name="sell">Продать</button>
		<br>
		<?php include('list.php'); ?>
		<br>
			<label>Площадь:</label>
		<input type="text" name="area" id="area"></input><br>
			<label>Цена:</label>
		<input type="text" name="price" id="price"></input><br>
		<input type="submit" value="Найти"></input><br>
</form>	
	</div>
	<hr>
	<div id="table">
	<?php
	include("db.php");
	echo "<hr>";
	
	?>
	</div>
	
</div>
</body>
</html>

а вот файл, который подключается в него и работает с БД

<?php
	echo ($querySell);

	$city = $_POST[city];
	$area = $_POST[area];
	$price1 = ($_POST[price]) + 50;
	$price2 = ($_POST[prise]) - 50;
	
	//$selectQuery = "SELECT * FROM mytable";
	
	$connect = mysql_connect ($host, $user, $pass) or die (mysql_error());
	$db = mysql_select_db("mydb", $connect) or die (mysql_error());
	
	$result = mysql_query($querySell) or die (mysql_error());
	
		
	
	
	$querySell = ('
    SELECT * FROM mytable
    WHERE city = '.$city.'
    AND price <= '.$price1.'
    AND price >= '.$price2.'
    AND type = 1');
	
$result = mysql_query($querySell) or die (mysql_error());
	
	$queryBuy = "
		SELECT * FROM mytable
		WHERE city = '$city'
		AND area = '$area'
		AND type = 'Купить'
		;
	";	
		echo ($querySell);
	
	
	echo "<table border='1' id='tab'>";
		echo "<tr>";
			echo "<td>". "<b>Тип</b>" ."</td>";
			echo "<td>". "<b>Город</b>" ."</td>";
			echo "<td>". "<b>Площадь</b>" ."</td>";
			echo "<td>". "<b>Цена</b>" ."</td>";
		echo "</tr>";
	while ($arr = mysql_fetch_array($result)){
		
	echo "<tr>";
		echo "<td>" . $arr['type'] . "</td>";
		echo "<td>" . $arr['city'] . "</td>";
		echo "<td>" . $arr['area'] ." S". "</td>";		
		echo "<td>" . $arr['price'] ." UAH". "</td>";
	echo "</tr>";
	}
	echo "</table>";

?>

значение присваивается после mysql_query
$result = mysql_query($querySell) or die (mysql_error());
...
$querySell =

olamedia .: if там нету, до него не дошло, я проверяю без условия.

Григорий Дидус: см ниже: значение присваивается после mysql_query
$result = mysql_query($querySell) or die (mysql_error());
...
$querySell =

Как я и говорил - все проблемы от неправильной обработки ошибок.

FanatPHP: точнее отсутствием обработки в виде die

Это первое. А второе - E_ALL бы показал на попытку обращения к еще не определенной переменной.

Григорий Дидус: и да, никому, особенно здесь, не сообщайте адрес сайта, на котором это крутится, пока не избавитесь от инъекций и вообще пока не подучите язык )
взломают моментально

FanatPHP: E_ALL уронил бы страницу сразу на $_POST[sell] - неопределенная константа, приведение к строке.

кавычки с ума сойдут)

Awake: лишь бы интерпретатор не сошел :)

С русскими никак? Нужно лезть в БД и везде менять купить/продать на 0/1?

Григорий Дидус: не испольуйте небогоугодные языки.

Глюкъ Виртуален: сделал запрос по вашему, затем хочу на него (не результат, а именно сам запрос) посмотреть. echo ($querySell); , а он пустой. Как так?

Григорий Дидус: не могу знать. Проверил специально — выводится.

Глюкъ Виртуален: голова уже квадратная..

Григорий Дидус: выпейте :)

Глюкъ Виртуален: алкоголь убивает мозг. А мозгу и так тяжело) Я не пью.

Статья говно, кстати. Понятно, что другой нет, но реальной пользы из нее - буквально пара строчек. Остальное вода и вред.