对您的问题的简短回答是“否”。
从最严格的意义上讲,在数据库级别,准备好的语句仅允许将参数绑定到SQL语句的“值”位。
一种思考的方式是“可以在语句的运行时执行而不替换其含义的事物”。表名不是这些运行时值之一,因为它确定SQL语句本身的有效性(即,哪些列名有效),并且在执行时对其进行更改将有可能更改SQL语句是否有效。
在更高的级别上,即使在模拟准备好的语句参数替换而不是实际将准备好的语句发送到数据库的数据库接口(例如PDO)中,也可以想象到,这可以允许您在任何地方使用占位符(因为占位符在发送到在这些系统上的数据库),该表占位符的值是一个字符串,并将其发送到数据库的SQL内封入作为这样,所以
SELECt* FROM ?与
mytable作为PARAM将实际上最终发送
SELECt * FROM 'mytable'到数据库中,这是无效的SQL。
您最好的选择就是继续
SELECt * FROM {$mytable}但是 绝对 应该有一个白名单的表,如果该表
$mytable来自用户输入,则应首先对其进行检查。
