经过一番挖掘,事实证明phpmyadmin使用反引号来引用数据库,表和列名称。他们只是这样做:
$sql_query = 'CREATE DATAbase ' . PMA_backquote($new_db);
这将在上面的错误情况下给出类似
CREATE DATAbase `test_db; DROP some_other_db`;
当然,输入字符串中的任何反引号都需要转义,根据phpmyadmin的代码,这可以通过用双反勾号替换所有单反勾号来完成。我找不到任何地方可以确认这是正确的。
我也在网上注意到,尽管反引号不是标准的SQL。
