标签: php sql pdo
我需要使用动态表名,这些名称不能作为预处理语句中的参数提供。我想如果我只将标识符名称限制为字母数字+下划线,那么就无法注入某些sql,对吗?
这里有检查功能:
function is_safe_identifier($s) { return preg_match('/^[a-zA-Z0-9_]+$/', $s) == 1; }