我可以在准备好的语句中参数化表名吗？

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ){ $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);"); mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ); $statement->execute();}

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ){ $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);"); mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ); $statement->execute();}

对你问题的简短回答是“不”。在最严格的意义上，在数据库级别上，准备语句只允许将参数绑定到SQL语句的“值”位。其中一种思维方式是“在运行时执行语句时可以替换的东西，而不改变其含义”。表名不是这些运行时值之一，因为它决定SQL语句本身的有效性(即哪些列名是有效的)，并且在执行时更改它可能会改变SQL语句是否有效。在稍高的级别上，即使在模拟已准备好的语句参数替换而不是实际将准备好的语句发送到数据库(例如PDO)的数据库接口中，PDO允许您在任何地方使用占位符(因为占位符在发送到这些系统中的数据库之前被替换)，表占位符的值将是一个字符串，并将其封装在发送到数据库的SQL中，因此SELECT * FROM ?带着mytable因为Param最终会发送SELECT * FROM 'mytable'到数据库，这是无效的SQL。你最好的选择就是继续SELECT * FROM {$mytable}但是你绝对一点儿没错应该有一个表的白名单，如果是这样的话，应该首先对照这些表进行检查。$mytable来自用户输入。

我可以在准备好的语句中参数化表名吗？

2回答