$count=$dbh->prepare("select * from ? where score$count->execute(array($table,$score));
$countNum=$count->rowCount();
返回$count=0
$count=$dbh->prepare("select * from {$table} where score$count->execute(array($score));
$countNum=$count->rowCount();
正常返回$count=45
PHP中文网 采纳为最佳 2017-04-10 16:45:03 3楼
可控的部分没必要代入。难道你连表名也依赖用户输入吗
赞 +0 添加回复
阿神 采纳为最佳 2017-04-10 16:45:03 2楼
Prepare Statement是对传入参数进行预编译,并不是所有的SQL字符都能被占位符替换,只有符合参数条件的地方,才能参与预编译。 赞 +0 添加回复
怪我咯 采纳为最佳 2017-04-10 16:45:03 1楼
表名参与prepare没有太大意义啊,因为这万一不可能用户提交输入的,完全是你自己填写的,而且应该是不可修改的常量,没必要prepare啊
赞 +0 添加回复