如何使用变量来选择 SQL 表?
$sselect = $_GET['series'];
$episodes = mysqli_query($conn, "SELECT * FROM '$sselect'") or die(mysqli_error());
【问题讨论】:
试试这个: 这应该有效。感谢@Phil,他指出表名应该用反引号括起来。我已经更新了我的答案来做到这一点。额外的单引号用于完成 MYSQL 查询。
$sselect = $_GET['series'];
$episodes = mysqli_query($conn, 'SELECT * FROM `'.$sselect.'`') or die(mysqli_error());
更新:
Phil 的意思是,如果您使用 $_GET 变量,有人可以轻松地将 URL 替换为不同的表名,从而带来巨大的安全风险。例如,假设我有一个名为users 的表,但我期望$_GET 变量是以下变量之一:cars、pencils 或colors。
您希望表单返回这样的 URL:
www.example.com/index.php?series=pencils
但用户可以更改数据来表示:
www.example.com/index.php?series=users
允许用户/攻击者访问机密表。这不是一个好的做法,Phil 建议您更改表结构中的架构,这样用户就不会选择表名。
【讨论】:
$_GET 的表名,我至少会创建一个表白名单并确保该值与其中一个匹配。
为什么不使用简单的连接?
$sselect = $_GET['series'];
$episodes = mysqli_query($conn, "SELECT * FROM ".$sselect) or die(mysqli_error());
【讨论】: