如何使用PDO动态构建查询

如何使用PDO动态构建查询

不幸的是，您不能按列名绑定参数。

您可以尝试动态创建SQL命令：

$sql = "SELECt * FROM $tableName WHERe $columnName = :value";$query = $dbh->prepare($sql);$query->bindParam(':value', $value);

只要确保对参数/变量来自其他地方进行消毒，就可以防止SQL注入。在这种情况下，

$value

是安全 的程度
，但

$tableName

并

$columnName

没有-再次，这是最特别的是，如果不提供通过这些变量的值

you

和而不是用户/访港的/ etc
…