pdo预处理时，需要绑定字段，但是出现了问题

发布于
2016-06-16

需要向数据库查询，但是字段和字段值都是客户端传过来的，所以sql语句是这么写的

$sql="select id from goods_type_attr where :field=:value and type_id=:type_id";
$this->stmt=$this->pdo->prepare($sql);
$this->stmt->execute($arr);

但是字段名field最后也被做了处理，结果应该是成了selecte ·· from xx where '字段'=····
是 ' 而不是 `，所以导致查不出结果，请问该如何绑定一个字段名呢？
谢谢诸位

php

mysql pdo 预处理

阅读 5.1k

5 个回答

得票最新

saozhu

4196

发布于
2016-06-16

为什么要这样处理呢？

可以定义一个数组比如

$field = [
    'name'    =>    'name',
    'type'    =>    'type'
];
$field = $field[$_GET['field']];

这样总不会有注入了吧

coachmans

4.6k21328

发布于
2016-06-16

我个人建议你最好把你要变更都字段单独做处理之后当作一个变量赋值，字段和值都设置成预处理形式PDO貌似不能识别

54dev

84169

发布于
2016-06-16

更新于
2016-06-16

$sql="select id from goods_type_attr where #field1#=:value and type_id=:type_id";
$sql = str_replace("#field1#", $param_field, $sql);
$this->stmt=$this->pdo->prepare($sql);
$this->stmt->execute($arr);

incNick

6.3k2613

发布于
2016-06-17

汗，你这也太死板了。字段名单独处理一下，例如

$field = str_replace('`', '', $field);
$sql = "... `{$field}` = :fieldValue";

事实上通常客户端是不能直接传递字段名的，比较危险，最好是用下拉框选择，后台再处理，比如

$useableFields = array('f1', 'f2', 'f3');
if (isset($useableFields['request_field_number']))
    $selectedField = $useableFields['request_field_number'];
else
    $selectedField = false;