简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
Rumah
Artikel
Soal Jawab
Kursus
Topik
Muat turun
Permainan
Kamus
kemas kini terkini

Rumah  >  Soal Jawab  >  teks badan

为什么PHP中使用PDO::prepare,MySQL表名不能使用占位符?

$count=$dbh->prepare("select * from ? where score<?");
$count->execute(array($table,$score));
$countNum=$count->rowCount();
返回$count=0

$count=$dbh->prepare("select * from {$table} where score<?");
$count->execute(array($score));
$countNum=$count->rowCount();
正常返回$count=45

PHP中文网PHP中文网2768 hari yang lalu700

membalas semua(3)saya akan balas

  • PHP中文网

    PHP中文网2017-04-10 16:45:03

    可控的部分没必要代入。难道你连表名也依赖用户输入吗

    balas
    0
  • 阿神

    阿神2017-04-10 16:45:03

    Prepare Statement 是对传入参数进行预编译,并不是所有的 SQL 字符都能被占位符替换,只有符合参数条件的地方,才能参与预编译。

    balas
    0
  • 怪我咯

    怪我咯2017-04-10 16:45:03

    表名参与prepare没有太大意义啊,因为这万一不可能用户提交输入的,完全是你自己填写的,而且应该是不可修改的常量,没必要prepare啊

    balas
    0
  • Batalbalas