【发布时间】:2010-12-05 06:50:06
【问题描述】:
我目前正在构建一个查询,其中字段/列和值部分都可能包含用户输入的数据。
问题在于转义字段名。 我正在使用准备好的语句来正确转义和引用值,但是在转义字段名时我遇到了麻烦。
- mysql_real_escape_string 需要一个 mysql 连接资源才能给我们,所以排除了
- PDO::quote 在字段名周围添加引号,这使得它们在查询中也无用
- addslashes 有效,但并不安全
任何人都知道在将字段名传递给 PDO::prepare 之前将其正确插入查询的最佳方法是什么?
【问题讨论】: