使用变量数据替换查询中的硬编码表名
[英]Using variable data to replace hard-coded table name in a query
问题描述
假设我有一个准备好的语句,在这种情况下,该语句从数据库的特定表中选择照片信息:
$conn = dbConnect('query');
$bgImage = "SELECT photo_fname
FROM photos_bn
WHERE gallery_id = ?
LIMIT $curPage,".$totalPix;
$stmt = $conn->prepare($bgImage);
$stmt->bind_param('i', $gallery);
$stmt->bind_result($pFname);
$stmt->execute();
$stmt->store_result();
$stmt->fetch();
而且由于我的数据库中有几个处理特定照片主题的表,因此可以假设我需要对每个表进行单独的查询。 上面的代码从表格photos_bn选择信息,但是我还有其他表格,我们将其称为photos_bq和photos_ps 。
这可能是一个非常明显的问题,但是我将如何用一个可以通过查询字符串或会话变量传递给页面的变量替换表名,以使查询中的表名不是硬编码的,但却是其中的一部分准备好的陈述?
非常感谢!
3 个解决方案
解决方案1
1 已采纳 2013-05-02 18:45:34
你将会拥有:
$bgImage = "SELECT photo_fname
FROM ".$_GET["querystringvar"]." WHERE gallery_id = ?
LIMIT $curPage,".$totalPix;
警告,您很容易遭受SQL注入
解决方案2
0 2013-05-02 18:49:10
$bgImage = "SELECT photo_fname ";
if ($querystring == 'bn') {
$bgImage .= " FROM photos_bn ";
}
else if ($querystring == 'bq') {
$bgImage .= " FROM photos_bq ";
}
else {
$bgImage .= " FROM photos ";
}
$bgImage .= "WHERE gallery_id = ?
LIMIT $curPage,".$totalPix;
$stmt = $conn->prepare($bgImage);
我猜是这样的。 检查查询字符串的值,并根据需要连接。 不要将纯查询字符串连接到SQL字符串中。 当然,哪一种仍然是硬编码方式。 但我绝不建议您在声明中加入用户收到的未经检查的内容。
解决方案3
0 2013-05-02 20:01:51
这样的东西?
$prep = $mysqli->prepare("SELECT photo_fname FROM photos_? WHERE gallery_id = ? LIMIT ?,?");
$prep->bind_param("siii",$_GET['theme_suffix'],$gallery_id,$curPage,$totalPix);
如何替换php文件中的硬编码数组中的特定值?
[英]How to replace a specific value in a hard-coded array inside of a php file?
MySQLi 记录集不会返回结果,除非 URL 参数在查询中被硬编码
[英]MySQLi recordset will not return results unless URL parameters are hard-coded in the query
jQuery ajax:从变量获取url不起作用-相同的硬编码url可以-为什么?
[英]jQuery ajax: sourcing url from variable does not work - same hard-coded url does - why?
Aws Php SDk - 使用硬编码凭证创建Cloudfront分发
[英]Aws Php SDk - Create Cloudfront distribution using hard-coded credentials
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.