“请检查与您的MySQL服务器版本对应的手册,以获得正确的语法使用
“请检查与您的MySQL服务器版本对应的手册,以获得正确的语法使用
提问于 2015-02-06 00:56:55
我试图从我的数据库中执行一个SELECT,但是我得到了一个错误,我不明白为什么。我所能知道的是,prepare()语句似乎失败了。任何帮助都将不胜感激。
$sQuery = "SELECT * FROM ? WHERE `email` = ? AND `password` = ?";
$sTypes = "sss";
$aParams = array("user", "john.doe@missing.com", "password");上面是查询和bind_param值。
function conn($sQuery, $sTypes=null, $aParams=null){
$sMessage = '';
$db = new mysqli('localhost','root','','myvyn') or die('unable to connect!');
if($db->connect_errno){
$message = $db->connect_error;
} else{
$stmt = $db->stmt_init();
if (!($stmt->prepare($sQuery))) {
var_dump("Prepare failed: (" . $stmt->errno . ") " . $stmt->error);
}
if($sTypes&&$aParams){
$bindParams[] = $sTypes;
foreach($aParams as $param){
$bindParams[] = $param;
}
call_user_func_array(array($stmt, 'bind_param'), $bindParams);
}
$stmt->execute();
$oResult = $stmt->get_result();
while($rows = $oResult->fetch_assoc()){
$aRows[] = $rows;
}
$oResult->free();
$db->close();
return $aRows;
}
}回答 1
Stack Overflow用户
回答已采纳
发布于 2015-02-06 01:00:52
不能按照这里 (我的粗体)使用表名的参数:
这些标记仅在SQL语句中的某些位置是合法的。例如,在INSERT语句的VALUES()列表中(为一行指定列值)或与WHERE子句中的列进行比较时允许使用它们来指定比较值。 但是,不允许使用标识符(例如表名或列名),在select列表中指定要由SELECT语句返回的列的,或者指定二进制运算符的两个操作数,例如=相等号。后一种限制是必要的,因为不可能确定参数类型。它不允许比较标记和NULL?也是零。通常,参数仅在数据操作语言(DML)语句中合法,而在数据定义语言(DDL)语句中不合法。
假设您控制了表名(所以SQL注入是不可能的),您可以使用以下内容:
$sQuery = "SELECT * FROM $tblname WHERE `email` = ? AND `password` = ?";然后只绑定电子邮件地址和密码。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/28356844
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号