最佳答案
我可以在预处理语句中参数化表名吗?
我已经多次使用 mysqli _ stmt _ bind _ param 函数。但是,如果我将要防止 SQL 注入的变量分开,就会遇到错误。
下面是一些代码示例:
function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
$statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
$statement->execute();
}
是否有可能以某种方式将 .$new_table.连接替换为另一个问号语句,创建另一个绑定参数语句,或者添加到现有语句上以防止 SQL 注入?
比如这个或者其他形式的:
function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
$statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
$statement->execute();
}
