0
像我在这段代码中使用的那样使用变量作为列名是否安全?这个sql代码是否安全使用?
public function SelectForum($column, $value) {
global $database;
$database->query('SELECT * FROM forums WHERE '.$column.' = :value');
$database->Bind(":value", $value);
$database->execute();
$ForumsData = $database->resultset();
$ForumsCount = $database->RowCount();
if($ForumsCount == 0) {
return null;
} else {
return $ForumsData;
}
}
具体看'whitelist's那里。 – chris85
那么,已经关闭,但什么地狱:见http://pastebin.com/X9FFq8Yc – cottton