mysql准备的语句，这可能吗？

function fetchbyId($tableName,$idName,$id){ 
     global $connection; 
     $stmt = mysqli_prepare($connection, 'SELECT * FROM ? WHERE ? = ?'); 
     var_dump($stmt); 
     mysqli_stmt_bind_param($stmt,'s',$tableName); 
     mysqli_stmt_bind_param($stmt,'s',$idName); 
     mysqli_stmt_bind_param($stmt,'i',$id); 
     $stmt = mysqli_stmt_execute($stmt); 
     mysqli_stmt_bind_result($name,$id); 
     $fetchArray = array(); 
     while($row = mysqli_stmt_fetch($stmt)){ 
      $fetchArray[] = $row; 
     } 
     return $fetchArray; 
    }

我可以使用表名的地方持有人吗？或者这是唯一可能的表列？mysql准备的语句，这可能吗？

来源

2010-12-18 Adamski

这是不可能的列。这是你正在尝试构建的无用功能。它可以帮你避免输入3个单词，但会使你的代码变得不可读。 – 2010-12-18 17:59:29

使它成为像这样运行的一个通用函数''data = getRow（“SELECT * FROM table WHERE id =？”，$ id）;' – 2010-12-18 18:05:33

@Col。 Shrapnel：不幸的是，这个解决方案（getRow）剥夺了他对数据库的抽象。切换到XML或对象存储将是一个痛苦... – netcoder 2010-12-18 18:09:40

不，它只接受值（即：不是列，表名，模式名和保留字），因为它们将被转义。你可以这样做：

$sql = sprintf('SELECT * FROM %s WHERE %s = ?', $tableName, $idName); 
$stmt = mysqli_prepare($connection, $sql); 
mysqli_stmt_bind_param($stmt,'i',$id);

来源

2010-12-18 18:02:55 netcoder

不，你不能。表和列名称是语法，值是数据。语法不能被参数化。

表/列名可以直接安全地插入到字符串中，因为它们来自经过验证的有限表/列名称集合（正确？）。只有用户提供的值应该是参数。

function fetchbyId($tableName,$idName,$id){ 
    global $connection; 
    $stmt = mysqli_prepare($connection, "SELECT * FROM $tableName WHERE $idName = ?"); 
    mysqli_stmt_bind_param($stmt,'i',$id); 
    $stmt = mysqli_stmt_execute($stmt); 
    mysqli_stmt_bind_result($name,$id); 
    $fetchArray = array(); 
    while($row = mysqli_stmt_fetch($stmt)){ 
     $fetchArray[] = $row; 
    } 
    return $fetchArray; 
}

来源

2010-12-18 18:01:44 Tomalak

“只有用户提供的值应该是参数” - 你不会错的更多，伙计 – 2010-12-18 18:02:54

@ Col.Shrapnel：与“来自受控环境的值”相反。请注意，我没有说*“不是用户提供的值不能是参数”*。但是，也许你向我解释了为什么我不能更加错误，什么是合理的倒退。 – Tomalak 2010-12-18 18:04:59

“受控环境”中也有撇号和空值。准备好的陈述**是**旨在让开发者**不**考虑数据来源。去图 – 2010-12-18 18:07:15

mysql准备的语句，这可能吗？

回答

相关问题