使用可变数据替换查询中的硬编码表名

Question

假设我有一个准备好的语句，在这种情况下，它从数据库中的特定表中选择照片信息：

$conn = dbConnect('query');
$bgImage = "SELECT photo_fname
    FROM photos_bn
    WHERE gallery_id = ?
    LIMIT $curPage,".$totalPix;
$stmt = $conn->prepare($bgImage);
$stmt->bind_param('i', $gallery);
$stmt->bind_result($pFname);
$stmt->execute();
$stmt->store_result();
$stmt->fetch();

由于我的数据库中有多个处理特定照片主题的表，因此我会假设我需要对每个表进行单独的查询。上面的代码从表中选择信息，photos_bn，但是我还有其他表，我们将它们称为photos_bq和photos_ps。

这可能是一个非常明显的问题，但是我如何将表名替换为可以通过查询字符串或会话变量传递给页面的变量，以便查询中的表名不是硬编码的，但是是准备好的语句的一部分吗？

非常感谢！

Answer 1

你会：

$bgImage = "SELECT photo_fname
FROM ".$_GET["querystringvar"]." WHERE gallery_id = ?
LIMIT $curPage,".$totalPix; 

请注意，这会让您很容易受到 SQL 注入的影响

Answer 2

$bgImage = "SELECT photo_fname ";

    if ($querystring == 'bn') {
       $bgImage .= " FROM photos_bn ";
       }
    else if ($querystring == 'bq') {
       $bgImage .= " FROM photos_bq ";
       }
    else {
       $bgImage .= " FROM photos ";
       }
$bgImage .= "WHERE gallery_id = ?
            LIMIT $curPage,".$totalPix;
    $stmt = $conn->prepare($bgImage);

我猜是这样的。检查您的查询字符串的值并连接您需要的任何内容。不要将纯查询字符串连接到 SQL 字符串中。当然，这仍然是一种硬编码方式。但我绝不会建议在您的声明中放入未经任何检查从用户那里收到的内容。

Answer 3

像这样？

$prep = $mysqli->prepare("SELECT photo_fname FROM photos_? WHERE gallery_id = ? LIMIT ?,?");
$prep->bind_param("siii",$_GET['theme_suffix'],$gallery_id,$curPage,$totalPix);