-1

次のような準備済みステートメントを使用するときに、SQL ステートメント内で値を定義することについて、人々の意見はどうなっているのか疑問に思っています。

$sql->query("SELECT * FROM ".TABLE_NAME." WHERE id = :id");
$sql->bind(':id', $id);

すべてのコードではありませんが、私が何を得ているかを見ることができます。私が基本的に求めているのは、テーブル名をバインドする必要があるかどうかです。

4

1 に答える 1

1

テーブル名と列名に準備済みステートメントを使用することはできません。
SQL インジェクションに対して回復力があるため、どこでもプリペアド ステートメントを使用することをお勧めします (値のエスケープを気にする必要はありません)。
また、複数回実行すると、パフォーマンスが向上します。

于 2013-10-16T13:11:07.143 に答える