我尝试从我的数据库中执行SELECT但我收到错误并且我不明白为什么。我只能说prepare()声明似乎失败了。任何帮助将不胜感激。
$sQuery = "SELECT * FROM ? WHERE `email` = ? AND `password` = ?";
$sTypes = "sss";
$aParams = array("user", "john.doe@missing.com", "password");
以上是查询和bind_param值。
function conn($sQuery, $sTypes=null, $aParams=null){
$sMessage = '';
$db = new mysqli('localhost','root','','myvyn') or die('unable to connect!');
if($db->connect_errno){
$message = $db->connect_error;
} else{
$stmt = $db->stmt_init();
if (!($stmt->prepare($sQuery))) {
var_dump("Prepare failed: (" . $stmt->errno . ") " . $stmt->error);
}
if($sTypes&&$aParams){
$bindParams[] = $sTypes;
foreach($aParams as $param){
$bindParams[] = $param;
}
call_user_func_array(array($stmt, 'bind_param'), $bindParams);
}
$stmt->execute();
$oResult = $stmt->get_result();
while($rows = $oResult->fetch_assoc()){
$aRows[] = $rows;
}
$oResult->free();
$db->close();
return $aRows;
}
}
答案 0 :(得分:1)
根据here(我的粗体):
,您无法使用表名参数标记仅在SQL语句的某些位置是合法的。例如,允许它们在INSERT语句的VALUES()列表中(指定行的列值),或与WHERE子句中的列进行比较以指定比较值。
但是,不允许在SELECT列表中指定要由SELECT语句返回的列的标识符(例如表名或列名),或指定两个操作数二元运算符,例如=等号。后一种限制是必要的,因为无法确定参数类型。不允许将标记与NULL进行比较?也是NULL。通常,参数仅在数据操作语言(DML)语句中是合法的,而在数据定义语言(DDL)语句中不合法。
假设您控制表名(因此无法进行SQL注入),您可以使用以下内容:
$sQuery = "SELECT * FROM $tblname WHERE `email` = ? AND `password` = ?";
然后只绑定电子邮件地址和密码。