准备声明的安全动态部分

时间:2016-06-13 07:01:15

标签: php pdo prepared-statement sql-injection

我正在用动态部分实现预备语句,如此

$stmt = $db->prepare("SELECT * FROM" .$table. "WHERE id=? AND name=?");

“table”部分是动态的,是包含表名称的变量。现在它被代码插入,但是如果将来我决定让用户插入它呢?

如何防止注入不属于语句WHERE部分的变量?

由于

0 个答案:

没有答案