Question

我有一个包含国家（地区）的MySQL数据库

id  | de          | en          | fr   
--------------------------------------------- 
 1  | Afghanistan | Afghanistan | Afghanistan
 2  | Albanien    | Albania     | Albanie
...

我想根据访问者的语言获得国家列表。

这是我班上的方法：

public function getList($language){
    $countries = array();
    $req = ('SELECT id, :language FROM country ORDER BY :language ASC');        
    $q = $this->_db->prepare($req);
    $q->bindValue(':language', $language, \PDO::PARAM_STR);
    $q->execute();
    while ($data = $q->fetch(\PDO::FETCH_ASSOC)) {
        $countries[] = new Country($data);
    }
    return $countries;
    $q->closeCursor();
}

它返回一个数组，但是国家/地区名称被语言替换。

似乎bindValue在我的变量中添加了引号，这在ORDER BY中很好，但是在我要选择的字段中却产生了问题。

$countryManager->getList('fr');

返回类似这样的内容

Array
(
[0] => Entities\Country Object
    (
        [id:Entities\Country:private] => 1
        [de:Entities\Country:private] =>  
        [en:Entities\Country:private] => 
        [fr:Entities\Country:private] => fr
    )

[1] => Entities\Country Object
    (
        [id:Entities\Country:private] => 2
        [de:Entities\Country:private] => 
        [en:Entities\Country:private] => 
        [fr:Entities\Country:private] => fr
    )

如果您对问题可能出在哪里有任何想法，我将非常高兴知道：）

预先感谢您的帮助。

Answer 1

您不能使用准备好的语句来设置查询中的列或表的名称，只能使用它们来插入值。您必须使用字符串插值

别忘了应用彻底的验证来防止SQL注入漏洞。

不能在SELECT字段名称中使用BindValue？

1 个答案: