Fehler PDO?
-
-
Sollte eher so aussehen
BTW: variablen gehören nicht in die Query.
Wenn Du unbedingt den Table per var so angeben musst,
dann bitte mit Whitelist.
EDIT: whitelist bsp
PHP
Alles anzeigen$input = '...'; // zB via POST (select feld) $tableWhitelist = [ // table name => allowed 'table_name_1' => true, 'table_name_2' => true, 'table_name_3' => true, 'table_name_4' => true, 'foo' => true, 'foo_bar' => true, 'user' => false, ]; // check if table is on whitelist if (!isset($tableWhitelist[$input])) { throw new \Exception("Invalid table name given!"); } else { $tableName = $tableWhitelist[$input]; } $sql = "SELECT * FROM `{$tableName}` WHERE `some_column` = :search_value;"; $stmt = $conn->prepare($sql); $stmt->execute(['search_value' => $_POST['search_value']]);
-
Danke
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!