2
這可能嗎?例如使用PDO/MySQL準備語句的表名作爲參數
SELECT * FROM :database WHERE id = :id
如果不是,應該我只是這樣做:
SELECT * FROM ' . $database . ' WHERE id = :id
或者是有一些其他技巧我需要學習?
A
回答
3
表名和列名不能被PDO中的參數替換。 參見Can PHP PDO Statements accept the table or column name as parameter?
3
在查詢中傳遞動態構建的表名是相當危險的。但是,如果您的應用程序需要這麼多,則必須清理數據。由於PDO無法幫助您,所以您必須自己撥打mysql_real_escape_string。你也必須用反引號把表名稱作爲`table_name`。所以,準備查詢爲:
'SELECT * FROM `' . mysql_real_escape_string($database) . '` WHERE id = :id
一個注意:mysql_real_escape_string需要數據庫已建立的連接。
編輯:但是,當我想到它,可能是最好匹配$database變量與您現有的表。
+0
是的,我從固定列表中選擇它們,但這是一個很好的觀點。 –
相關問題
- 1. 傳遞表名作爲準備語句的參數
- 2. 如何使用arraylist作爲準備好的語句參數
- 3. PDO準備語句參數
- 4. 在MySQL中不使用準備語句的表的名稱的參數
- 5. 重命名錶準備好的語句
- 6. 在準備好的語句中重用匿名參數
- 7. ssis使用參數作爲表名的動態t-sql語句
- 8. Postgres sqlx準備語句與表名bindvar
- 9. PDO名爲準備好的語句不起作用
- 10. 使用參數化和準備語句的數據庫訪問
- 11. 如何使用動態數量的參數來準備語句?
- 12. 在參數中準備語句?
- 13. 多參數「IN」準備語句
- 14. 將作業參數用作JdbcCursorItemReader中的預準備語句參數
- 15. 使用準備好的語句來設置表名
- 16. 準備語句:使用ArrayList的參數創建方法
- 17. 在JAVA中使用帶準備語句參數的符號
- 18. 準備語句
- 19. 準備的語句不起作用
- 20. 僅使用最後一個參數的MySQL PDO名稱/值準備語句
- 21. MySql C API:是否支持準備語句命名參數?
- 22. 在PDO準備語句中使用問號而不是表名
- 23. 如何在opencart中使用參數化查詢/準備語句?
- 24. 準備語句數據庫
- 25. 駱駝藍圖指定參數爲準備的SQL語句
- 26. Java爲oracle alter session查詢準備的語句參數
- 27. 使用準備好的語句爲創建臨時表
- 28. 如何在php類上使用預準備語句(命名參數)
- 29. 準備語句MySQLI:INSERT不起作用
- 30. 使用MySQL2 gem準備的語句?
哦,我沒看到那個帖子。謝謝! –