ホームページ > バックエンド開発 > PHPチュートリアル > 为什么PHP中使用PDO::prepare,MySQL表名不能使用占位符?

为什么PHP中使用PDO::prepare,MySQL表名不能使用占位符?

WBOY
リリース: 2016-06-06 20:19:29
オリジナル
1374 人が閲覧しました

$count=$dbh->prepare("select * from ? where score");
$count->execute(array($table,$score));
$countNum=$count->rowCount();
返回$count=0

$count=$dbh->prepare("select * from {$table} where score");
$count->execute(array($score));
$countNum=$count->rowCount();
正常返回$count=45

回复内容:

$count=$dbh->prepare("select * from ? where score");
$count->execute(array($table,$score));
$countNum=$count->rowCount();
返回$count=0

$count=$dbh->prepare("select * from {$table} where score");
$count->execute(array($score));
$countNum=$count->rowCount();
正常返回$count=45

可控的部分没必要代入。难道你连表名也依赖用户输入吗

Prepare Statement 是对传入参数进行预编译,并不是所有的 SQL 字符都能被占位符替换,只有符合参数条件的地方,才能参与预编译。

表名参与prepare没有太大意义啊,因为这万一不可能用户提交输入的,完全是你自己填写的,而且应该是不可修改的常量,没必要prepare啊

関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
最新の問題
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート