是否可以在SELECT FROM sql命令中使用动态值?
Database->prepare("SELECT bomb FROM ? WHERE id=?")
->execute($strTable,$strID);
结果:
致命错误:未捕获异常消息异常查询错误:SQL语法中存在错误;检查与MySQL服务器版本对应的手册,以便在...附近使用正确的语法。
答案 0 :(得分:6)
没有。表名不能是查询的参数。您需要首先构造查询字符串,将表名连接在一起。
答案 1 :(得分:3)
假设$strTable来自安全来源,请使用
Database->prepare("SELECT bomb FROM $strTable WHERE id=?")
->execute($strID);
答案 2 :(得分:2)
您缺少的te bindParam语句。除了像@Alex这样的php变量之外,我认为你不能做表名。以下是准备好的声明的代码:
<?php
$stmt = $dbh->prepare("SELECT bomb FROM $tablename WHERE id=:strID");
$stmt->bindParam(':strID', $id);
$stmt->execute();
?>
PHP Manaual引用:http://php.net/manual/en/pdo.prepared-statements.php
答案 3 :(得分:1)
通常这些数据库抽象层依赖于预处理语句来处理占位符功能。 RDBM的预准备语句功能编译查询,如果未指定表,我认为不可能准备查询。
您应该使用库的转义函数并在查询中包含表名。
示例:
$tablename = escapement_function($strTable);
Database->prepare("SELECT bomb FROM {$tablename} WHERE id=?")
->execute($strID);