はPDOによって追加の引用符の扱い::（準備）

Question

PHPドキュメントPDOによる::準備（）すべてのパラメータに引用符を追加します。

"プリペアドステートメントのパラメータはクォートする必要はなく、ドライバは自動的にこれを処理します。アプリケーションがプリペアドステートメントを排他的に使用する場合、開発者はSQLインジェクションが発生しないことを確認できます（ただし、エスケープされていない入力でビルドされても、SQLインジェクションは可能です）。

この問題は、私のクエリとデータベース構造を構築する方法です。通常、SQL文のFROM部分は、おそらく直接ユーザー入力によって定義されるため、パラメータ化する必要はありません。しかし、私のコードでは、いくつかの場所で大文字と小文字が区別されるので、パラメータ化されたバージョンではより快適になります。テーブル名FROM SELECT *とは対照的に、

SELECT * FROM ? WHERE ?=? 

WHERE？=？

私の質問は、これは私の顔にスローされたSQLエラーを取得しないように私のPDOオブジェクトがFROMパラメータの周りに引用符を追加するのを防ぐことは可能ですか？それとも別のやり方でこれをしなければならないのですか？

Answer 1

プリペアドステートメントのプレースホルダは値のみです。動的テーブル名を挿入する唯一の方法は、自分で行うことです。

"SELECT FROM `".$table."` WHERE `".$column."` = ?" 

Answer 2

@KingCrunchは彼の答えではほとんど正しいです。あなたは本当に自分自身で文字列をエスケープする必要があります。このようなものは、ほとんどの注射から保護する必要があります：

//make sure $table and $column only contain alphanumeric chars 
$table = preg_replace("/[^A-Za-z0-9]/", '', $table); 
$column = preg_replace("/[^A-Za-z0-9]/", '', $column); 

$query = "SELECT FROM `{$table}` WHERE `{$column}` = ?"