繁体 English 中英

PHP变量作为SQL查询中的表名

[英]PHP variable as table name in SQL query

原文 2012-09-19 15:12:33 1 2 php/ jquery

PHP变量可以用作SQL查询中的表名吗？ 在我的情况下，FROM后面的PHP变量应该是我的JQuery代码发送的值。 我想根据从JQuery发送的值来更改SQL查询（不同的值取决于选择选择框的哪个选项）。

$file_absolute = ---Placeholder for correct file path---;
include_once($file_absolute);
$mysql = new mysqli($db_host, $db_username, $db_password, $db_name);
$verb_value = $_POST['verb_value'];

$mysql->query("SET CHARACTER SET 'utf8'");

$result = $mysql->query("SELECT present_tense FROM $verb_value");

2 个解决方案

您可以这样做，是的。 是否想要是另一回事-如果要将用户输入添加到SQL查询中，则会有一个巨大的SQL注入孔。

就是说，使用表名，您可以实现白名单，然后将传递的值与表名进行比较，以衡量安全性。

但是，您不能将表名（或列名）作为绑定参数传递-它们需要在查询中生成。

用双引号引起来的字符串将解析其中的任何变量，因此可以使用。 单引号字符串不会。

但是，这通常不被认为是安全的。 我不确定是否可以使用bindParam方法来实现此目的（我使用PDO，而不是mysqli），因为它实际上不是参数。

无法在PHP中使用查询变量作为表名创建SQL表

[英]Cannot create SQL table with query variable as table name in PHP

使用 PHP 的 PDO 安全删除 SQL 查询中的变量表名

[英]Variable table name in delete SQL query with PHP's PDO safely

在SQL pdo查询中使用变量作为表名

[英]Using variable as table name in SQL pdo query

PHP 查询表名变量为 MySQL

[英]PHP query with variable of table's name of MySQL

表名是来自同一查询（PHP）的变量

[英]Table name is a variable from same query (PHP)

无法将变量添加为表名SQL / PHP

[英]Trouble adding a variable as a table name SQL/PHP

如何使SQL表的PHP变量名称

[英]How to make PHP variable name of SQL table

php foreach循环SQL表名查询

[英]php foreach loop SQL table name query

插入表..PHP-SQL查询中的变量

[英]INSERT INTO TABLE .. php - variable in sql query

PHP变量名和SQL表列名长度

[英]PHP variable name and SQL table column name length

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 无法在PHP中使用查询变量作为表名创建SQL表使用 PHP 的 PDO 安全删除 SQL 查询中的变量表名在SQL pdo查询中使用变量作为表名 PHP 查询表名变量为 MySQL 表名是来自同一查询（PHP）的变量无法将变量添加为表名SQL / PHP 如何使SQL表的PHP变量名称 php foreach循环SQL表名查询插入表..PHP-SQL查询中的变量 PHP变量名和SQL表列名长度

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM