Q&A
肝心のSQLインジェクションに関する懸念を質問に書き忘れていました。
特に変数$hogeが外部からやってくるわけではないので、
仰る方法で試してみます。
ご回答ありがとうございました。
下記のようなPHPによるMySQL操作において、テーブル名を変数($hoge)で指定し、hugaテーブルにアクセスしたいと考えているのですが、どういった方法が考えられるでしょうか?
宜しくお願いします。
PHP
1 //テーブル名として使いたい文字列 2 $hoge = "huga"; 3 4 //検索に用いるparam 5 $param = 123; 6 7 //プリペアド・ステートメント 8 $sql = "SELECT * FROM `table_name` WHERE `column_name` = ?"; 9 10 if ($stmt = $mysqli->prepare($sql)) { 11 //条件値をバインド 12 $stmt->bind_param("i", $param); 13 14 //実行 15 $stmt->execute(); 16 17 //略 18 }
回答2件
0
こういうことでしょうか。
PHP
1$sql = "SELECT * FROM $hoge WHERE `column_name` = ?";
投稿2017/04/25 01:50
総合スコア16998
0
ベストアンサー
プログラム的な仕様で
$hugaが外からデータ投入されるのでなければさほどセキュリティ的には問題ありません
$hoge = "huga"; $sql = "SELECT * FROM `{$hoge}` WHERE `column_name` = ?";
としてもいいでしょう
ただなんらかの条件節とからむのでしょうから
if($x==1){ $sql="select * from `hoge` "; }elise{ $sql="select * from `fuga` "; }
のような指定の仕方をしたほうが間違いないと思います
投稿2017/04/25 01:49
総合スコア114767
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/04/25 01:57