我目前正在构建一个查询,其中字段/列和值部分可能包含用户输入的数据.
问题在于逃避字段名称.我正在使用预准备语句以便正确地转义并引用值但是当转义字段名时我遇到了麻烦.
任何人都知道在将字段名传递给PDO :: prepare之前将字段名正确插入查询的最佳方法是什么?
bob*_*nce 27
ANSI标准的分隔标识符方式是:
SELECT "field1" ...
如果名称中有"加倍":
SELECT "some""thing" ...
不幸的是,这在默认设置的MySQL中不起作用,因为MySQL更喜欢认为双引号是字符串文字的单引号的替代.在这种情况下,你必须使用反引号(如Björn所述)和反斜杠转义.
要做到正确反斜杠转义,你会需要mysql_real_escape_string,因为它的字符集相关.但这一点没有实际意义,因为mysql_real_escape_string和addslashes都没有逃避反引号字符.如果你可以确定列名中永远不会有非ASCII字符,你只需手动反斜杠即可逃避`和\字符.
无论哪种方式,这都与其他数据库不兼容.您可以通过设置配置选项ANSI_QUOTES来告诉MySQL允许ANSI语法.同样,默认情况下,SQL Server也会在双引号上窒息; 它使用另一种语法,即方括号.同样,您可以使用'quoted_identifier'选项将其配置为支持ANSI语法.
总结:如果您只需要MySQL兼容性:
一个.使用反引号并禁止名称中的反引号,反斜杠和空字符,因为转义它们是不可靠的
如果您需要跨DBMS兼容性,请:
湾 使用双引号并要求MySQL/SQL-Server用户适当地更改配置.禁止在名称中使用双引号字符(因为Oracle无法处理它们甚至转义).要么,
C.有一个MySQL vs SQL Server vs Others的设置,并根据它生成反引号,方括号或双引号语法.禁止使用双引号和反斜杠/反引号/ nul.
这是你希望数据访问层有功能的东西,但是PDO没有.
摘要摘要:任意列名是一个问题,如果可以帮助它,最好避免.
摘要摘要摘要:gnnnnnnnnnnn.
Mar*_*ian 13
正确的答案是
str_replace("`", "``", $fieldname)
错误:
mysql> SELECT `col\"umn` FROM user; ERROR 1054 (42S22): Unknown column 'col\"umn' in 'field list'
对:
mysql> SELECT `kid``s` FROM user; ERROR 1054 (42S22): Unknown column 'kid`s' in 'field list' mysql> SELECT ```column``name``` FROM user; ERROR 1054 (42S22): Unknown column '`column`name`' in 'field list'
(请注意,在上一个示例中,列名称中有3(3)个额外的反向标记,只是为了显示极端情况)