PDO - FROM zmienna - GET - bindValue

pytanie zadane 17 maja 2016 w PHP przez niezalogowany

Witam, ćwiczę sobie korzystanie z PDO. Mam jednak ogromny problem z którym próbowałem się uporać już na wiele sposobów. Znakomicie działa mi funkcja bindValue - jeśli chcę wstawić jakąś zmienną do warunku WHERE.

Jednak nie mogę sobie poradzić z wstawieniem zmiennej do zapytania, w którym tabela jest właśnie zmienną. Wygląda to tak:

$name = $_GET['name'];

require_once"baza.php";
			try{
				$db = new PDO('mysql:host='.$host.';dbname='.$db_name, $db_user, $db_password );
				echo 'Połączenie nawiązane!';
			}catch(PDOException $e){
				echo 'Połączenie nie mogło zostać utworzone';
			}

$stmt = $db->prepare('SELECT * FROM :name');
$stmt->bindValue(':name',$name,PDO::PARAM_STR);

	$stmt->execute();
									
	foreach($stmt as $row){
	     echo $row[nazwa_kolumny];
	}

Bardzo proszę o pomoc.

3 odpowiedzi

odpowiedź 17 maja 2016 przez Comandeer Guru (601,110 p.)

Bo nazw tabel nie można wkładać jako parametry – je trzeba umieścić bezpośrednio w zapytaniu.

Tutaj najlepiej sprawdzi się whitelista.

komentarz 17 maja 2016 przez Mateusz821 Bywalec (2,940 p.)

BTW 'SELECT * ' jest złe

komentarz 17 maja 2016 przez Comandeer Guru (601,110 p.)

Bo…?

komentarz 17 maja 2016 przez niezalogowany

Comandeeer jak zwykle niezastąpiony jeśli chodzi o pomoc dla mnie. :) BTW to Ty pierwszy zwróciłeś mi uwagę żebym przestał używać mysql_*, a zainteresował się PDO lub mysqli. :)

Ta whitelist ma może jakąś inną nazwę? Bo nic konkretnego nie mogę znaleźć, a chciałem zrozumieć, a nie na skopiować kod z internetu i na chybił trafił dopasować do swojego kodu - aż zacznie działać. Znalazłem coś takiego tylko:

https://gist.github.com/wilmoore/2340119

http://stackoverflow.com/questions/13499390/variable-table-name-in-delete-sql-query-with-phps-pdo-safely

1	komentarz 17 maja 2016 przez Comandeer Guru (601,110 p.) W sumie to, co znalazłeś, powinno się nadać. Whitelista to po prostu tablica dozwolonych wartości. Dzięki temu będzie można pobrać dane tylko z tabel, z których na to zezwolisz – a w innych wypadkach pobrać z domyślnej lub wywalić błąd ;)

komentarz 17 maja 2016 przez niezalogowany

Działa, wielkie dzięki! :)

komentarz 18 maja 2016 przez Paweł Chyła Użytkownik (560 p.)

Comandeer plusik dla ciebie za wyjaśnienie tematu,bo ja też za bardzo nie czaiłem co to jest ta whitelista :)

odpowiedź 17 maja 2016 przez Paweł Chyła Użytkownik (560 p.)

Whitelist

http://andy-carter.com/blog/simple-php-function-to-whitelist-array-keys

komentarz 17 maja 2016 przez niezalogowany

I nie bardzo rozumiem jak mam wykorzystać whitelisty do PDO. :/

odpowiedź 17 maja 2016 przez niezalogowany

Zrobiłem coś takiego, ale nadal nie działa:


$wartosc = 1;
									
									
																
		switch($wartosc)
				{
				case 1:
					$tabela = 'tabela_testowa';
					echo "test";
					break;
				}
									
		$sql = 'SELECT * FROM $tabela';
		$stmt = $db->prepare($sql);
										
									
		$stmt->execute();
									
		foreach($stmt as $row){
		echo $row[nazwa_kolumny];
		}