Heim > Backend-Entwicklung > PHP-Tutorial > Können PDO-Parameter für Tabellen- oder Spaltennamen in SQL-Abfragen verwendet werden?

Können PDO-Parameter für Tabellen- oder Spaltennamen in SQL-Abfragen verwendet werden?

Linda Hamilton
Freigeben: 2024-12-25 03:20:21
Original
813 Leute haben es durchsucht

Can PDO Parameters Be Used for Table or Column Names in SQL Queries?

PDO-Parameter: Können sie Tabellen- oder Spaltennamen als Eingabe akzeptieren?

Versuch, den Tabellennamen als Parameter in ein vorbereitetes PDO aufzunehmen -Anweisung, wie im Codeausschnitt unten dargestellt, führt zu einem Fehler:

$stmt = $dbh->prepare('SELECT * FROM :table WHERE 1');
if ($stmt->execute(array(':table' => 'users'))) {
    var_dump($stmt->fetchAll());
}
Nach dem Login kopieren

Warum ist das so? Das ist nicht möglich?

PDO-Parameter sind für Datenwerte gedacht, die während der Abfrageausführung dynamisch zugewiesen werden. Tabellen- und Spaltennamen hingegen sind statische Elemente des Datenbankschemas und nicht für die Parametrisierung geeignet.

Sichere Alternative zum Einbinden von Tabellennamen

Zum sicheren Einfügen Wenn Sie einen Tabellennamen in eine SQL-Abfrage eingeben, wird empfohlen, die Daten manuell zu filtern und zu bereinigen. Dies kann erreicht werden, indem eine switch()-Anweisung auf der weißen Liste in die Funktion integriert wird, die die Abfrage dynamisch ausführt:

function buildQuery( $get_var )
{
    switch($get_var)
    {
        case 1:
            $tbl = 'users';
            break;
    }

    $sql = "SELECT * FROM $tbl";
}
Nach dem Login kopieren

Durch die Einrichtung bestimmter Fälle und die Behandlung ungültiger Szenarios wird die Abfrage nur mit zulässigen Bedingungen ausgeführt Tabellennamen. Dieser Ansatz stellt sicher, dass Benutzereingaben keinen direkten Einfluss auf die SQL-Abfrage haben, wodurch die Datenintegrität gewahrt bleibt.

Das obige ist der detaillierte Inhalt vonKönnen PDO-Parameter für Tabellen- oder Spaltennamen in SQL-Abfragen verwendet werden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Neueste Artikel des Autors
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage