堆棧內存溢出
  簡體   English   中英

mysql編寫語句,這可能嗎?

[英]mysql prepared statements, is this possible?

 原文  2010-12-18 17:56:04       php/ mysql/ prepared-statement

問題描述

function fetchbyId($tableName,$idName,$id){
        global $connection;
        $stmt = mysqli_prepare($connection, 'SELECT * FROM ? WHERE ? = ?'); 
        var_dump($stmt);
        mysqli_stmt_bind_param($stmt,'s',$tableName);
        mysqli_stmt_bind_param($stmt,'s',$idName);
        mysqli_stmt_bind_param($stmt,'i',$id);
        $stmt = mysqli_stmt_execute($stmt);
        mysqli_stmt_bind_result($name,$id);
        $fetchArray = array();
        while($row = mysqli_stmt_fetch($stmt)){
            $fetchArray[] = $row;
        }
        return $fetchArray;
    }

我可以使用表名稱的占位符,還是只能用於表格列?

2 個解決方案

解決方案1
 1  2010-12-18 18:01:44

不,你不能。 表名和列名是語法,值是數據。 語法不能參數化。

表/列名可以安全地直接插入到字符串中,因為它們來自經過驗證的有限有效表/列名集( 對嗎? )。 只有用戶提供的值應該是參數。 

function fetchbyId($tableName,$idName,$id){
    global $connection;
    $stmt = mysqli_prepare($connection, "SELECT * FROM $tableName WHERE $idName = ?"); 
    mysqli_stmt_bind_param($stmt,'i',$id);
    $stmt = mysqli_stmt_execute($stmt);
    mysqli_stmt_bind_result($name,$id);
    $fetchArray = array();
    while($row = mysqli_stmt_fetch($stmt)){
        $fetchArray[] = $row;
    }
    return $fetchArray;
}

解決方案2
 1 已采納  2010-12-18 18:02:55

不,它只接受值(即:不是列,表名,模式名稱和保留字),因為它們將被轉義。 你可以這樣做: 

$sql = sprintf('SELECT * FROM %s WHERE %s = ?', $tableName, $idName);
$stmt = mysqli_prepare($connection, $sql); 
mysqli_stmt_bind_param($stmt,'i',$id);

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 預備語句Mysql無法正常工作 MySQL PDO准備語句 PHP \\ MYSQL預備語句 准備好的語句MYSQL到MYSQLI MySQL准備語句 准備好的mysql語句和數組 MySql在循環中准備語句 MySQL權限和准備好的語句 MYSQL PHP准備語句 php,mysql准備的語句
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM