[英]Inserting variable into a query
我知道准备好的语句,但是我的问题有点不同。
假设存在以下情况,变量$table
并非来自外部资源,即它只是一个硬编码到脚本中的字符串变量 。
if($i == 1)
$table = "students";
else if($i == 2)
$table = "lecturers";
$sql = "select * from ".$table." where attending = 1";
$db->exec($sql);
//etc
我的问题 :如上例所示,将$table
变量包含到查询中是否安全? 据我所知,我们应该只对用户输入数据使用准备好的语句,对吗? 如果没有,请纠正我。
如果您没有从用户那里收到变量的内容,那么可以安全地使用SQL Injection。 但是,出于效率考虑,您可以使用准备好的语句。 这样,该语句仅被解析一次,而不是每次执行时都被解析。 有关更多信息,请阅读:
http://dev.mysql.com/doc/refman/5.6/en/sql-syntax-prepared-statements.html
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.