我使用下面的方法从数据库中获取值(来自“$ column”列)并且它按预期工作但我想知道实现添加的“$ column”变量的正确方法在SELECT语句中,以尽可能安全地注入(通过准备?-type占位符或通过正确转义)。什么是最现代和最安全的方法?
注意:$qry->bind_param("ss",$column,$rowName);有2个?占位符不起作用。
$column = $_POST['column'];
$rowName = $_POST['rowName'];
$qry = $connection->prepare("SELECT $column FROM database_name WHERE row_name=?");
$qry->bind_param("s",$rowName);
$qry->execute();
$result = $qry->get_result();
答案 0 :(得分:0)
{{1}}