MySQL的基於單引號字符

Question

我使用MeekroDB（http://www.meekro.com/quickstart.php）構建在PHP MySQL的簡單查詢，拒查詢語法。即使簡單的查詢由於語法不正確而被拒絕。我注意到了在phpMyAdmin手動編寫查詢，如果他們使用此語法的查詢被拒絕：

SELECT * FROM 'table name' 

但是，如果他們使用此語法接受：

SELECT * FROM `table name` 

唯一的區別是一個稍微不同的撇號。 MeekroDB似乎默認生成第一種語法，這會導致查詢被拒絕。有沒有人遇到過這個？任何解決方案我正在使用WAMP服務器和MySQL 5.5.24。

注意：通過MeekroDB生成的查詢工作，如果它們不包含一個撇號，或者如果第二撇號類型是手動插入的。所以：

$result = DB::query("SELECT DISTINCT `column` FROM `table`") 

的作品，但：

$result = DB::query("SELECT DISTINCT %s FROM %s", "column","table") 

沒有。

Answer 1

我沒有聽說過MeekroDB，但它似乎是一個簡單的數據庫抽象層。第二個示例：

$result = DB::query("SELECT DISTINCT %s FROM %s", "column","table") 

...無效，因爲「列」和「表」都不是您要注入的文字字符串。它們是作爲SQL語句一部分的列/表名稱，而不是用戶提供的參數。

這是大多數編程語言的基本概念。 SELECT foo是從SQL出於同樣的原因SELECT 'foo'不同的是echo md5(1);是從PHP echo 'md5(1)';不同。

更新：

我懷疑我是不太清楚。使用預先準備好的語句來綁定語言結構或對象名稱是濫用任何數據庫庫，MeekroDB與否。你應該綁定代表值的參數，尤其是，那些由最終用戶輸入的數據，所以你的值不會泄漏到SQL中，並打破查詢或改變它的含義。但是，通常是沒有工具注入SQL命令或表名 -they'd是沒有多大用處的：如果你允許用戶建立任意SQL查詢，他已經被授權做幾乎任何事情，他希望電力。

Answer 2

好，因爲PHP不把字符串以同樣的方式其他語言做，這是一個有點壞主意。實質上，他們試圖讓開發者更容易，但並不總是如此。實際上你可以做的是

$result = DB::query(sprintf("SELECT DISTINCT %s FROM %s", "column","table"));