PDO 參數可以用於 SQL 查詢中的表名或列名嗎？

PDO 參數：它們可以接受表名或列名作為輸入嗎？

嘗試將表名作為參數包含在準備好的PDO 中語句，如下面的程式碼片段所示，將導致failure:

$stmt = $dbh->prepare('SELECT * FROM :table WHERE 1');
if ($stmt->execute(array(':table' => 'users'))) {
    var_dump($stmt->fetchAll());
}

為什麼這不可能？

PDO 參數適用於在查詢執行期間動態分配的資料值。另一方面，表格和列名稱是資料庫模式的靜態元素，不適合參數化。

包含表名稱的安全替代方案

安全插入將表名放入 SQL 查詢中，建議手動過濾和清理資料。這可以透過將白名單switch() 語句合併到動態執行查詢的函數中來實現：

function buildQuery( $get_var )
{
    switch($get_var)
    {
        case 1:
            $tbl = 'users';
            break;
    }

    $sql = "SELECT * FROM $tbl";
}

透過設定特定情況並處理任何無效場景，查詢將僅在允許的情況下執行表名。這種方法可確保使用者輸入不會直接影響 SQL 查詢，從而保持資料完整性。

以上是PDO 參數可以用於 SQL 查詢中的表名或列名嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！