简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
为什么PHP中使用PDO::prepare,MySQL表名不能使用占位符?
PHP中文网
PHP中文网 2017-04-10 16:43:03
0
3
695

$count=$dbh->prepare("select * from ? where score<?");
$count->execute(array($table,$score));
$countNum=$count->rowCount();
返回$count=0

$count=$dbh->prepare("select * from {$table} where score<?");
$count->execute(array($score));
$countNum=$count->rowCount();
正常返回$count=45

PHP中文网
PHP中文网

认证0级讲师

reply all(3)
洪涛
洪涛2017-04-10 16:45:03 3 floor

可控的部分没必要代入。难道你连表名也依赖用户输入吗

Like +0
Add Reply
阿神
阿神2017-04-10 16:45:03 2 floor

Prepare Statement 是对传入参数进行预编译,并不是所有的 SQL 字符都能被占位符替换,只有符合参数条件的地方,才能参与预编译。

Like +0
Add Reply
刘奇
刘奇2017-04-10 16:45:03 1 floor

表名参与prepare没有太大意义啊,因为这万一不可能用户提交输入的,完全是你自己填写的,而且应该是不可修改的常量,没必要prepare啊

Like +0
Add Reply
Popular Topics
More>
Popular Articles
Popular Tutorials
More>
Related Tutorials
Popular Recommendations
Latest courses
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template
About us Disclaimer Sitemap
php.cn:Public welfare online PHP training,Help PHP learners grow quickly!