标签: php pdo prepared-statement sql-injection
我正在用动态部分实现预备语句,如此
$stmt = $db->prepare("SELECT * FROM" .$table. "WHERE id=? AND name=?");
“table”部分是动态的,是包含表名称的变量。现在它被代码插入,但是如果将来我决定让用户插入它呢?
如何防止注入不属于语句WHERE部分的变量?
由于