按字符串选择表(FROM)

时间:2011-12-22 20:52:57

标签: php mysql

是否可以在SELECT FROM sql命令中使用动态值?

Database->prepare("SELECT bomb FROM ? WHERE id=?")
    ->execute($strTable,$strID);

结果:

  

致命错误:未捕获异常消息异常查询错误:SQL语法中存在错误;检查与MySQL服务器版本对应的手册,以便在...附近使用正确的语法。

4 个答案:

答案 0 :(得分:6)

没有。表名不能是查询的参数。您需要首先构造查询字符串,将表名连接在一起。

答案 1 :(得分:3)

假设$strTable来自安全来源,请使用

Database->prepare("SELECT bomb FROM $strTable WHERE id=?")
    ->execute($strID);

答案 2 :(得分:2)

您缺少的te bindParam语句。除了像@Alex这样的php变量之外,我认为你不能做表名。以下是准备好的声明的代码:

<?php
$stmt = $dbh->prepare("SELECT bomb FROM $tablename WHERE id=:strID");
$stmt->bindParam(':strID', $id);
$stmt->execute();
?>

PHP Manaual引用:http://php.net/manual/en/pdo.prepared-statements.php

答案 3 :(得分:1)

通常这些数据库抽象层依赖于预处理语句来处理占位符功能。 RDBM的预准备语句功能编译查询,如果未指定表,我认为不可能准备查询。

您应该使用库的转义函数并在查询中包含表名。

示例:

$tablename = escapement_function($strTable);
Database->prepare("SELECT bomb FROM {$tablename} WHERE id=?")
        ->execute($strID);