Mysql
 sql >> Datenbank >  >> RDS >> Mysql

MySQL-Tabellenname als Parameter

Das können Sie nicht parametrisieren Sie Ihre Tabellennamen, Spaltennamen oder andere Datenbankobjekte. Sie können nur parametrieren Sie Ihre Werte.

Sie müssen es als String-Verkettung an Ihre SQL-Abfrage übergeben, aber bevor Sie das tun, schlage ich vor, strong zu verwenden Validierung oder Whitelist (nur fester Satz von möglichen korrekte Werte).

Wenn Sie parametrisierte Anweisungen meinen mit "Parameterfunktionalität", ja, das ist richtig.

Beachten Sie übrigens, dass es ein Konzept namens dynamisches SQL unterstützt SELECT * FROM @tablename aber es wird nicht empfohlen.