为什么不能在准备语句中使用表名作为参数？

无法在准备好的语句中参数化表名称

尽管您最初尝试分离变量以防止 SQL 注入，但您还是遇到过错误。该问题源于尝试将表名作为参数包含。

在准备好的语句中，参数化仅限于 SQL 语句中的值。表名决定语句的有效性和列名，无法动态替换。

即使在像 PDO 这样模拟准备语句的接口中，将表名替换为引号内的字符串也会导致无效的 SQL 语法。

为了防止注入漏洞，最好维护一组白名单可接受的表名，并根据它验证您的 $mytable。如果您确保 $mytable 的有效性，像“SELECT * FROM {$mytable}”这样的代码仍然是一个可行的选择。

以上是为什么不能在准备语句中使用表名作为参数？的详细内容。更多信息请关注PHP中文网其他相关文章！