gpt4 book ai didi

php - PDO - 将字段名称作为变量传递

转载 作者:可可西里 更新时间:2023-11-01 07:13:44 24 4
gpt4 key购买 nike

我只是将我的代码从 mysql_query 风格命令迁移到 PDO 风格,我遇到了一个问题。旧代码看起来像这样:

$query_list_menu = "SELECT ".$_GET['section_name']." from myl_menu_hide_show WHERE id='".$_GET['id']."'";

更新后的代码如下所示。显然它不起作用。我在 $_GET['section_name'] 中存储了一个表示数据库字段名称的字符串。但是我认为当我将它作为变量传递时会出现问题。以下代码有效吗?谢谢。

$query_list_menu = "SELECT :section_name from myl_menu_hide_show WHERE id=:id";
$result_list_menu = $db->prepare($query_list_menu);
$result_list_menu->bindValue(':section_name', $_GET['section_name'] , PDO::PARAM_STR);
$result_list_menu->bindValue(':id', $_GET['id'] , PDO::PARAM_INT);
$result_list_menu->execute();

最佳答案

如果 $_GET['section_name'] 包含列名,您的查询应该是:

$query_list_menu = "SELECT " . $_GET['section_name'] . " from myl_menu_hide_show WHERE id=:id";

给予:

$query_list_menu = "SELECT :section_name from myl_menu_hide_show WHERE id=:id";
$result_list_menu = $db->prepare($query_list_menu);
$result_list_menu->bindValue(':id', $_GET['id'] , PDO::PARAM_INT);
$result_list_menu->execute();

原因是您希望列的实际名称出现在查询中 - 您已将其更改为参数,这实际上没有多大意义。

我还要补充一点,像这样直接使用 $_GET['section_name'] 存在巨大的安全风险,因为它允许 SQL 注入(inject)。我建议您在构建和执行查询之前,通过对照列列表检查 $_GET['section_name'] 的值来验证它。

关于php - PDO - 将字段名称作为变量传递,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11365357/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com