1

PHP 变量可以用作 SQL 查询中的表名吗?在我的情况下,FROM 之后的 PHP 变量应该是从我的 JQuery 代码发送的值。我希望 SQL 查询根据从 JQuery 发送的值进行更改(不同的值取决于选择框的哪个选项)。 

$file_absolute = ---Placeholder for correct file path---;
include_once($file_absolute);
$mysql = new mysqli($db_host, $db_username, $db_password, $db_name);
$verb_value = $_POST['verb_value'];

$mysql->query("SET CHARACTER SET 'utf8'");

$result = $mysql->query("SELECT present_tense FROM $verb_value");
4

2 回答 2

4

你可以这样做,是的。你是否想要它是另一回事——如果你将用户输入添加到你的 SQL 查询中,你就会有一个巨大的 SQL 注入漏洞。

也就是说,使用表名,您可以实现白名单,并将传递的值与该值进行比较以获得安全性度量。

但是,您不能将表名(或列名)作为绑定参数传递 - 它们需要作为查询的一部分生成。

于 2012-09-19T15:14:41.330 回答
0

双引号字符串将解析其中的任何变量,因此这将起作用。单引号字符串不会。

但是,这通常被认为是不安全的。我不确定您是否可以使用 bindParam 方法来实现这一点(我使用 PDO,而不是 mysqli),因为它实际上不是参数。

于 2012-09-19T15:14:49.567 回答