-2

通过检查列出这些表的表,表名将事先与可接受表的白名单进行比较。该列表必须是动态的,这就是我选择不使用数组的原因。设置变量部分中的变量是否安全?他们来了用户提交的帖子数据。

    if ($stmt = $mysqli->prepare("INSERT INTO `" . mysql_real_escape_string($tablename) . "` (item_name, item_price, item_position, item_type, multi_link_id) values (?, ?, ?, ?, ?)")) {

        //Build Parameters 
        $stmt->bind_param('sdiii', $additemnameb, $additempriceb, $itempositionb, $itemtypeb, $linkidb);

        //Set Variables
        $additemnameb = $additemname;
        $additempriceb = $additemprice;
        $itempositionb = $itemposition;
        $itemtypeb = $itemtype;
        $linkidb = $linkid;

        //Execute Statement
        $stmt->execute();

        //Close Statement
        $stmt->close();
    }else{
        //Errors
        printf("Prepared Statement Error: %s\n", $mysqli->error);
    }

编辑有一个实际问题,以明确我关心的是什么。

4

1 回答 1

0

要回答您的问题,是的,该// Set Variables部分中的变量是安全的,或者从技术上讲,这些变量将在执行查询之前变得安全。mysqli 会为您处理好它。

于 2013-06-13T03:19:03.167 回答