2
这可能吗?例如使用PDO/MySQL准备语句的表名作为参数
SELECT * FROM :database WHERE id = :id
如果不是,应该我只是这样做:
SELECT * FROM ' . $database . ' WHERE id = :id
或者是有一些其他技巧我需要学习?
A
回答
3
表名和列名不能被PDO中的参数替换。 参见Can PHP PDO Statements accept the table or column name as parameter?
3
在查询中传递动态构建的表名是相当危险的。但是,如果您的应用程序需要这么多,则必须清理数据。由于PDO无法帮助您,所以您必须自己拨打mysql_real_escape_string。你也必须用反引号把表名称作为`table_name`。所以,准备查询为:
'SELECT * FROM `' . mysql_real_escape_string($database) . '` WHERE id = :id
一个注意:mysql_real_escape_string需要数据库已建立的连接。
编辑:但是,当我想到它,可能是最好匹配$database变量与您现有的表。
+0
是的,我从固定列表中选择它们,但这是一个很好的观点。 –
相关问题
- 1. PDO准备语句参数
- 2. 在准备好的语句中重用匿名参数
- 3. ssis使用参数作为表名的动态t-sql语句
- 4. Postgres sqlx准备语句与表名bindvar
- 5. 多参数“IN”准备语句
- 6. 如何使用动态数量的参数来准备语句?
- 7. 使用准备好的语句来设置表名
- 8. 准备语句:使用ArrayList的参数创建方法
- 9. 在JAVA中使用带准备语句参数的符号
- 10. 准备的语句不起作用
- 11. 仅使用最后一个参数的MySQL PDO名称/值准备语句
- 12. 准备语句数据库
- 13. 骆驼蓝图指定参数为准备的SQL语句
- 14. Java为oracle alter session查询准备的语句参数
- 15. 准备语句MySQLI:INSERT不起作用
- 16. QSqlQuery准备语句 - 正确的使用
- 17. 使用LIKE与准备好的语句
- 18. 如何使用准备好的语句
- 19. JDBC准备好的语句/参考准备在另一个准备好的语句
- 20. 准备语句内部while循环生成的准备语句
- 21. PHP在准备好的语句中准备了语句
- 22. 准备语句帮助,变量数量不匹配准备语句中的参数数量
- 23. PDO准备语句
- 24. 准备语句UPDATE
- 25. 在查询中使用准备好的语句的结果作为临时表
- 26. PostgreSQL的准备语句操作员的
- 27. PostgreSQL准备的语句是由语句名缓存的吗?
- 28. 如果您使用准备好的语句,请了解用于准备语句的用户数据的验证
- 29. 使用准备好的语句时的预定义语句
- 30. 从MySQL数据填充表使用php pdo准备语句
哦,我没看到那个帖子。谢谢! –