Les paramètres PDO peuvent-ils être utilisés pour les noms de tables ou de colonnes dans les requêtes SQL ?

Paramètres PDO : peuvent-ils accepter des noms de table ou de colonne en entrée ?

Tentative d'inclure le nom de la table en tant que paramètre dans un PDO préparé La déclaration, comme illustré dans l'extrait de code ci-dessous, entraînera un échec :

$stmt = $dbh->prepare('SELECT * FROM :table WHERE 1');
if ($stmt->execute(array(':table' => 'users'))) {
    var_dump($stmt->fetchAll());
}

Pourquoi est-ce Pas possible ?

Les paramètres PDO sont destinés aux valeurs de données qui sont attribuées dynamiquement lors de l'exécution de la requête. Les noms de tables et de colonnes, en revanche, sont des éléments statiques du schéma de base de données et ne conviennent pas au paramétrage.

Alternative sûre pour inclure des noms de tables

Pour insérer en toute sécurité un nom de table dans une requête SQL, il est recommandé de filtrer et de nettoyer manuellement les données. Ceci peut être réalisé en incorporant une instruction switch() sur liste blanche dans la fonction qui exécute la requête de manière dynamique :

function buildQuery( $get_var )
{
    switch($get_var)
    {
        case 1:
            $tbl = 'users';
            break;
    }

    $sql = "SELECT * FROM $tbl";
}

En configurant des cas spécifiques et en gérant tous les scénarios non valides, la requête ne s'exécutera qu'avec les autorisations autorisées. noms de tables. Cette approche garantit que les entrées de l'utilisateur n'influencent pas directement la requête SQL, préservant ainsi l'intégrité des données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!