簡體 English 中英

PHP變量作為SQL查詢中的表名

[英]PHP variable as table name in SQL query

原文 2012-09-19 15:12:33 8 2 php/ jquery

PHP變量可以用作SQL查詢中的表名嗎？ 在我的情況下，FROM后面的PHP變量應該是我的JQuery代碼發送的值。 我想根據從JQuery發送的值來更改SQL查詢（不同的值取決於選擇選擇框的哪個選項）。

$file_absolute = ---Placeholder for correct file path---;
include_once($file_absolute);
$mysql = new mysqli($db_host, $db_username, $db_password, $db_name);
$verb_value = $_POST['verb_value'];

$mysql->query("SET CHARACTER SET 'utf8'");

$result = $mysql->query("SELECT present_tense FROM $verb_value");

2 個解決方案

您可以這樣做，是的。 是否想要是另一回事-如果要將用戶輸入添加到SQL查詢中，則會有一個巨大的SQL注入孔。

就是說，使用表名，您可以實現白名單，然后將傳遞的值與表名進行比較，以衡量安全性。

但是，您不能將表名（或列名）作為綁定參數傳遞-它們需要在查詢中生成。

用雙引號引起來的字符串將解析其中的任何變量，因此可以使用。 單引號字符串不會。

但是，這通常不被認為是安全的。 我不確定是否可以使用bindParam方法來實現此目的（我使用PDO，而不是mysqli），因為它實際上不是參數。

無法在PHP中使用查詢變量作為表名創建SQL表

[英]Cannot create SQL table with query variable as table name in PHP

使用 PHP 的 PDO 安全刪除 SQL 查詢中的變量表名

[英]Variable table name in delete SQL query with PHP's PDO safely

在SQL pdo查詢中使用變量作為表名

[英]Using variable as table name in SQL pdo query

PHP 查詢表名變量為 MySQL

[英]PHP query with variable of table's name of MySQL

表名是來自同一查詢（PHP）的變量

[英]Table name is a variable from same query (PHP)

無法將變量添加為表名SQL / PHP

[英]Trouble adding a variable as a table name SQL/PHP

如何使SQL表的PHP變量名稱

[英]How to make PHP variable name of SQL table

php foreach循環SQL表名查詢

[英]php foreach loop SQL table name query

插入表..PHP-SQL查詢中的變量

[英]INSERT INTO TABLE .. php - variable in sql query

PHP變量名和SQL表列名長度

[英]PHP variable name and SQL table column name length

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 無法在PHP中使用查詢變量作為表名創建SQL表使用 PHP 的 PDO 安全刪除 SQL 查詢中的變量表名在SQL pdo查詢中使用變量作為表名 PHP 查詢表名變量為 MySQL 表名是來自同一查詢（PHP）的變量無法將變量添加為表名SQL / PHP 如何使SQL表的PHP變量名稱 php foreach循環SQL表名查詢插入表..PHP-SQL查詢中的變量 PHP變量名和SQL表列名長度

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM