Können PDO-Parameter für Tabellen- oder Spaltennamen in SQL-Abfragen verwendet werden?

PDO-Parameter: Können sie Tabellen- oder Spaltennamen als Eingabe akzeptieren?

Versuch, den Tabellennamen als Parameter in ein vorbereitetes PDO aufzunehmen -Anweisung, wie im Codeausschnitt unten dargestellt, führt zu einem Fehler:

$stmt = $dbh->prepare('SELECT * FROM :table WHERE 1');
if ($stmt->execute(array(':table' => 'users'))) {
    var_dump($stmt->fetchAll());
}

Warum ist das so? Das ist nicht möglich?

PDO-Parameter sind für Datenwerte gedacht, die während der Abfrageausführung dynamisch zugewiesen werden. Tabellen- und Spaltennamen hingegen sind statische Elemente des Datenbankschemas und nicht für die Parametrisierung geeignet.

Sichere Alternative zum Einbinden von Tabellennamen

Zum sicheren Einfügen Wenn Sie einen Tabellennamen in eine SQL-Abfrage eingeben, wird empfohlen, die Daten manuell zu filtern und zu bereinigen. Dies kann erreicht werden, indem eine switch()-Anweisung auf der weißen Liste in die Funktion integriert wird, die die Abfrage dynamisch ausführt:

function buildQuery( $get_var )
{
    switch($get_var)
    {
        case 1:
            $tbl = 'users';
            break;
    }

    $sql = "SELECT * FROM $tbl";
}

Durch die Einrichtung bestimmter Fälle und die Behandlung ungültiger Szenarios wird die Abfrage nur mit zulässigen Bedingungen ausgeführt Tabellennamen. Dieser Ansatz stellt sicher, dass Benutzereingaben keinen direkten Einfluss auf die SQL-Abfrage haben, wodurch die Datenintegrität gewahrt bleibt.

Das obige ist der detaillierte Inhalt vonKönnen PDO-Parameter für Tabellen- oder Spaltennamen in SQL-Abfragen verwendet werden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!