mysqlは文を準備しましたが、これは可能ですか？

Question

function fetchbyId($tableName,$idName,$id){ 
     global $connection; 
     $stmt = mysqli_prepare($connection, 'SELECT * FROM ? WHERE ? = ?'); 
     var_dump($stmt); 
     mysqli_stmt_bind_param($stmt,'s',$tableName); 
     mysqli_stmt_bind_param($stmt,'s',$idName); 
     mysqli_stmt_bind_param($stmt,'i',$id); 
     $stmt = mysqli_stmt_execute($stmt); 
     mysqli_stmt_bind_result($name,$id); 
     $fetchArray = array(); 
     while($row = mysqli_stmt_fetch($stmt)){ 
      $fetchArray[] = $row; 
     } 
     return $fetchArray; 
    } 

テーブル名にプレースホルダを使用することはできますか？これはテーブルの列に対してのみ可能ですか？

Answer 1

いいえ、エスケープされるため、値（列、表名、スキーマ名、および予約語ではありません）のみを受け入れます。あなたはこれを行うことができます：

$sql = sprintf('SELECT * FROM %s WHERE %s = ?', $tableName, $idName); 
$stmt = mysqli_prepare($connection, $sql); 
mysqli_stmt_bind_param($stmt,'i',$id); 

Answer 2

いいえ、できません。表と列の名前は構文、値はデータです。構文をパラメータ化することはできません。

テーブル/列名は、実績のある有効なテーブル/列名のセット（、右？）からのものであるため、文字列に直接挿入できます。ユーザ提供の値のみがパラメータでなければなりません。

function fetchbyId($tableName,$idName,$id){ 
    global $connection; 
    $stmt = mysqli_prepare($connection, "SELECT * FROM $tableName WHERE $idName = ?"); 
    mysqli_stmt_bind_param($stmt,'i',$id); 
    $stmt = mysqli_stmt_execute($stmt); 
    mysqli_stmt_bind_result($name,$id); 
    $fetchArray = array(); 
    while($row = mysqli_stmt_fetch($stmt)){ 
     $fetchArray[] = $row; 
    } 
    return $fetchArray; 
}