テーブル名は、それらのテーブルをリストするテーブルをチェックすることにより、事前に許容可能なテーブルのホワイトリストと比較されます。そのリストは動的でなければならないため、配列の使用をやめました。設定変数セクションの変数は安全ですか? ユーザーが送信した投稿データが来ています。
if ($stmt = $mysqli->prepare("INSERT INTO `" . mysql_real_escape_string($tablename) . "` (item_name, item_price, item_position, item_type, multi_link_id) values (?, ?, ?, ?, ?)")) {
//Build Parameters
$stmt->bind_param('sdiii', $additemnameb, $additempriceb, $itempositionb, $itemtypeb, $linkidb);
//Set Variables
$additemnameb = $additemname;
$additempriceb = $additemprice;
$itempositionb = $itemposition;
$itemtypeb = $itemtype;
$linkidb = $linkid;
//Execute Statement
$stmt->execute();
//Close Statement
$stmt->close();
}else{
//Errors
printf("Prepared Statement Error: %s\n", $mysqli->error);
}
私が懸念していることを明確にするために、実際の質問をするように編集しました。