当我使用 PDO 准备好的语句,并使用它将表名插入查询失败时,一个简单的示例:
$stmt = $dbh->prepare("CREATE TABLE ? (id foo, int bar,...)");
$stmt->execute(Array('table_foobar'));
它所做的只是将? 替换为'table_foobar',单引号不允许为我创建表格!
我最终需要在准备好的语句的顶部执行sprintf 以添加预定义的表名。
我到底错过了什么?
【问题讨论】:
id foo 等)。
标签: php mysql pdo prepared-statement
我在手册中找不到任何明确的内容,但查看用户贡献的注释,参数的使用仅用于实际的 值,而不是表名、字段名等。
应该(并且可以)使用普通的字符串连接。
$tablename = "tablename";
$stmt = $dbh->prepare("CREATE TABLE `$tablename` (id foo, int bar,...)");
【讨论】:
escape功能更多!因为,好吧,你不再需要那个了。因为,这就是您的参数化查询。
sprintf,因为我在define 中定义了表名,所以我将其更改为要使用的变量。
如果您正在动态创建表,这很可能意味着您不了解关系数据库的思想,因此做错了。
只需在应用程序设置时从现成的转储中创建所有表,不要在运行时创建任何表。
根本不需要使用动态表名。
【讨论】:
appname_tablename 以将多个安装/应用程序整合到一个的可再发行应用程序数据库 - 有时在托管环境中是必需的。
SELECT * FROM ? 也不起作用,所以如果他不动态创建表,问题甚至会持续存在:)
SELECT * FROM ? 也表示糟糕的设计。但是ORDER BY ? 是更明智的情况。硬编码所有可能的选项是解决方案。