0

有人告诉我,在 MySQL 查询中动态选择表是不好的做法,除了将所有内容放入一个表中之外,我找不到当前代码的替代方法。如果这没有意义,也许我当前的代码会更有意义。

$where = $_GET['section'];
$mysqli = mysqli_connect("localhost", "root", "", "test");

if ($stmt = mysqli_prepare($mysqli, "SELECT title, img, active, price FROM ? ORDER by ID limit 5 ")) {
    mysqli_stmt_bind_param($stmt, 's', $where);

    while ($row = mysqli_fetch_assoc($stmt)) {
        if ($row['active'] == "yes") {
            echo'

我现在知道你不能使用准备好的语句来选择一个表,但我现在不知道如何解决这个问题。

会像:

$where = $_GET['section'];
$mysqli = mysqli_connect("localhost", "root", "", "test");
if ($where == "sets") {
    $query = "SELECT title, img, active, price FROM sets;"
}

if ($stmt = mysqli_prepare($mysqli, $query)) {
    while ($row = mysqli_fetch_assoc($stmt)) {
        if ($row['active'] == "yes") {
            echo'do stuff here';
        }

但我敢肯定这也是不好的做法。感谢任何我应该采取的方向的指示,我为这篇长文道歉。

4

1 回答 1

4

如果您使用可接受值的白名单验证其有效性,则可以动态选择表名。正如您所发现的那样,由于您不能将准备好的语句占位符用于表名,因此这是最安全的替代方法。

// Build an array of table names you will permit in this query
$valid_tables = array('sets', 'othertable', 'othertable2');

// Verfiy that $_GET['section'] is one of your permitted table strings
// by using in_array()
if (in_array($_GET['section'], $valid_tables)) {
  // Build and execute your query
  $where = $_GET['section']
  $query = "SELECT title, img, active, price FROM $where;";
  // etc...
}
else {
  // Invalid table name submitted.  Don't query!!!
}
于 2012-05-25T02:02:51.617 回答