PDO - 准备好的语句不处理变量的权利

Question

我有一个变量（$q=$_GET["q"];），我想用它运行准备好的语句。它包含我的数据库表的列名。

该变量的值来自下拉列表。当我运行以下代码时，输​​出是在列表中选择的确切值。所以它只是一个列名。

$q=$_GET["q"]; 

$dsn = "mysql:host=$host;port=$port;dbname=$database"; 

$db = new PDO($dsn, $username, $password); 

$sql = "SELECT DISTINCT ? FROM repertoire"; 
$stmt = $db->prepare($sql); 
$stmt->execute(array($q)); 

    echo "<select>"; 
    while ($row = $stmt->fetchObject()) { 
     echo "<option>"; 
     echo "{$row->{$q}}"; 
     echo "</option>"; 
     } 
    echo "</select>"; 

然而，当我改变此行$sql = "SELECT DISTINCT ? FROM repertoire";

到$sql = "SELECT DISTINCT ".$q." FROM repertoire";的我从数据库中获取所需的行...

我不是用PHP那么好，所以我想这我的语法在某个地方是错误的。

非常感谢您的帮助。

Answer 1

在PDO中，准备好的语句准备值而不是表格。

您需要处理用户输入并直接引用。

$q=$_GET["q"]; 

// Make sure you sanitize your user inputs using filter_inputs() or similar. 

$dsn = "mysql:host=$host;port=$port;dbname=$database"; 

$colNames = new PDO($dsn, $username, $password); // Create object for getting column names. 
$sql = "DESC repertoire Field"; // SQL for getting column names. 
$stmt = $colNames->prepare($sql); 
$stmt->execute(); 

$colList = $stmt->fetchAll(PDO::FETCH_COLUMN, 0); // Fetch the results into $colList array. 

if (in_array($q, $colList)) { // If the value of $q is inside array $colList, then run. 

    $db = new PDO($dsn, $username, $password); 

    $sql = "SELECT DISTINCT $q FROM repertoire"; 
    $stmt = $db->prepare($sql); 
    $stmt->execute(array($q)); 

     echo "<select>"; 
     while ($row = $stmt->fetchObject()) { 
      echo "<option>"; 
      echo "{$row->{$q}}"; 
      echo "</option>"; 
      } 
     echo "</select>"; 
} 

还可以阅读：Can PHP PDO Statements accept the table or column name as parameter?

编辑：我添加了一个方法来检查，以确保$ q是一个有效的列由基本上是做一个SQL递减为了让所有的列名出表曲目。