gpt4 book ai didi

php - 使用参数替换准备语句的 mysql 字段名

转载 作者:行者123 更新时间:2023-11-29 11:45:55 29 4
gpt4 key购买 nike

我正在添加一个临时表,其中包含第二个查询将使用的文件名列表。我知道文件名可以用于sql注入(inject),所以我想使用准备好的语句。

我的工作查询的简化版本如下所示(例如可能有 50 个文件名):

CREATE TEMPORARY TABLE tempfile(filename varchar(100));
INSERT INTO tempfile (filename)
SELECT filename FROM (
SELECT 'myfile.jpg' AS filename UNION SELECT "myfile2.jpg") xx;

我尝试将其替换为:

CREATE TEMPORARY TABLE tempfile(filename varchar(100));
INSERT INTO tempfile (filename)
SELECT filename FROM (
SELECT ? AS filename UNION SELECT ?) xx;

但是 mysql 给了我一个语法错误。有什么想法如何在此查询中使用参数吗?

如果您能给我这篇文章一个更好的标题,我会更改它。

更新 - 注意

上面的查询将插入两条记录。然后您可以使用以下方式查询它们:

SELECT tf.filename FROM tempfile

最佳答案

尝试这样的事情:

INSERT INTO tempfile (filename)
VALUES
(?),(?),(?);

关于php - 使用参数替换准备语句的 mysql 字段名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34959602/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com