我是PDO的新手,正在创建一个类。我想让代码尽可能干净,并尽可能多地使用几页。我计划将列和表名作为参数发送:
function get($column, $table, $where) {
global $db;
$query = 'SELECT '.$column.' FROM '.$table.' WHERE '.$where.'';
try {
$statement = $db->prepare($query);
$statement->execute();
$result = $statement->fetchAll();
$statement->closeCursor();
return $result;
} catch (PDOException $e) {
$error_message = $e->getMessage();
display_db_error($error_message);
}
}
它运行良好,但我想知道它会被认为有多安全。
您的代码不安全。除非您在代码中的其他位置测试$column、$table和$where,否则现在是sql注入的时机。我不会做你打算做的事。这是一条通往疯狂错误的道路。允许用户控制访问什么表显然是应用程序设计中的一个主要缺陷。