SQL列名中的PHP变量
我需要用php编写一个SQL update语句,我的列名需要是一个变量。 我从jQuery ajax post方法中获得这些变量,并在PHP中使用它们:SQL列名中的PHP变量,php,mysql,sql,Php,Mysql,Sql,我需要用php编写一个SQL update语句,我的列名需要是一个变量。 我从jQuery ajax post方法中获得这些变量,并在PHP中使用它们: $variable = $_POST['variable']; $row = $_POST['row']; $field = $_POST['field']; 当我回显它们时,我会得到正确的值,例如: echo $variable; echo $row; echo $field; 我得到了——马丁斯,2岁,名字。在我的数据库中,有
$variable = $_POST['variable'];
$row = $_POST['row'];
$field = $_POST['field'];
echo $variable;
echo $row;
echo $field;
如果我用name-firstname更改“.$field.”,则更新成功,因此$variable和$row定义正确,但我需要将此列名作为变量。我看过大约15篇文章,我试过每一个代码,但什么也没试过。这真的不可能吗?您需要转义变量,这是给定上下文的一个基本示例
$conn = mysqli_connect(/* config */);
$sql = 'UPDATE ajax_example SET ' . mysqli_real_escape_string($conn, $field).'= "' . mysqli_real_escape_string($conn, $variable) . '" WHERE id = "' . mysqli_real_escape_string($conn, $row) . '"';
mysqli_query($conn, $sql);
您需要转义变量,这是给定上下文的一个基本示例
$conn = mysqli_connect(/* config */);
$sql = 'UPDATE ajax_example SET ' . mysqli_real_escape_string($conn, $field).'= "' . mysqli_real_escape_string($conn, $variable) . '" WHERE id = "' . mysqli_real_escape_string($conn, $row) . '"';
mysqli_query($conn, $sql);
转义您的输入变量,请不要再使用
mysqlmysqliPDOmysqliPDOmysqli\ucode>函数,使用mysqli\ucode>或PDO
1。不要使用mysql。他们已经被弃用了(而且已经有好几年了)。使用mysqli
或PDO
。其次,这段代码非常不安全。请,请,转义你的输入变量。将它们直接传递到语句中将为一种称为“SQL注入”的经典攻击打开大门。谢谢!这很有效!:)但为什么逃跑如此必要?我应该使用PDO吗?PDO有很多优点吗?@user3316619准备好的语句总是比将变量粘贴到查询中要好。请参阅。@H2Oooooomysql\u real\u escape\u string
是不够的,但是mysqli\u real\u escape\u string
很好-因为它会根据您提供的连接进行逃逸-而mysql\u
的变体则不会-PDO要好得多,但它与OP有很大的偏差谢谢!这很有效!:)但为什么逃跑如此必要?我应该使用PDO吗?PDO有很多优点吗?@user3316619准备好的语句总是比将变量粘贴到查询中要好。请参阅。@H2Oooooomysql\u real\u escape\u string
是不够的,但是mysqli\u real\u escape\u string
是好的-因为它会针对您提供的连接进行转义-而mysql\u
变体则不会-PDO要好得多,但它与OP有很大的偏差