SELECT FROM sql komutunun içinde dinamik bir değer kullanmak mümkün mü?Dize ile Tablo (FROM) öğesini seçin
Database->prepare("SELECT bomb FROM ? WHERE id=?")
->execute($strTable,$strID);
sonucu:
Fatal error: Uncaught exception Exception with message Query error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near...
$strTable güvenli bir kaynaktan geldiğinden varsayarsak sadece
Database->prepare("SELECT bomb FROM $strTable WHERE id=?")
->execute($strID);
sayılı tablo adı sorgunun bir parametre değildir. Sen tablo adı bitiştirmek, önce sorgu dizesini oluşturmak gerekiyordu.
kullanmak genellikle bu veritabanı soyutlama katmanı yer ele almaya hazır deyimi dayanır tutucu özelliği. RDBM'nin hazırlanan deyim özelliği sorguyu derler, eğer tablo belirtilmemişse sorguyu hazırlamanın mümkün olduğunu düşünmüyorum.
Kitaplığınızın escapement işlevini kullanmalı ve tablo adını sorguya dahil etmelisiniz.
örnek:
$tablename = escapement_function($strTable);
Database->prepare("SELECT bomb FROM {$tablename} WHERE id=?")
->execute($strID);
Kişisel eksik te BindParam ifadeleri. @Alex gibi bir php değişkenini yapmanın dışında tablo adını yapabileceğinizi sanmıyorum. Bunu PHP ile ne ilgisi var emin değilim http://php.net/manual/en/pdo.prepared-statements.php
daha fazla sql enjeksiyonu çocuklar ;-) – RageZ
Nasıl? Parametreleri kullanarak sql enjeksiyonu için neredeyse imkansızdır. Bu, kullanıcının, bu durumda saldırıya uğraması gereken tablo adını girmesine izin vermediği sürece. "Bir uygulama sadece hazırlanmış ifadeleri kullanıyorsa, geliştirici SQL enjeksiyonunun gerçekleşmeyeceğinden emin olabilir." – Robert
$ tablename = 'foobar WHERE 1 = 1 -' derken, $ tablename türünün tehlikeli – RageZ
... – BoltClock
Neden:
PHP Manaual refernce: Burada hazırlanmış bir ifade kodudur? Herhangi bir sql komutu aralarında katman olmadan mysql'e doğrudan erişir mi? – mate64
Bu arada hangi kütüphaneyi kullanıyorsunuz? – RageZ