bindValue(), prepare(), czy można lepiej? Opcje

[Hfastmet]

Witam szanowną brać programistyczną!

Od dłuższego czasu zastanawiam się i nie mogę znaleźć rozwiązania następującej kwestii.

Otóż mam np. taki wycinek kodu:

[PHP] pobierz, plaintext 
$this->zapytanie = $this->connect->prepare('SELECT `Plac` 
                                                                  FROM `stock`
                                                                  WHERE `login` =:login
                                                                  AND `village_id` =:village_id');
 
        $this->zapytanie->bindValue('login', $this->user, PDO::PARAM_STR);
        $this->zapytanie->bindValue('village_id', $this->village_id, PDO::PARAM_STR);
 
        $this->zapytanie->execute();
[PHP] pobierz, plaintext 

jak widać, wpisane jest "na sztywno" pole (`Plac`), tabela(`stock`), lewa część warunku (`login`, `village_id`) , a podpinam prawą część warunku, która zmienia się zależnie od właściwości, czyli $this->user i $this->village_id.

Teraz pytanie.

Czy istnieje jakakolwiek metoda by podpinać również pole lub/i tabelę lub/i warunek itp?

czyli coś takiego (to oczywiście nie działa):

[PHP] pobierz, plaintext 
$this->zapytanie = $this->connect->prepare('SELECT :pole 
                                                                  FROM :tabela
                                                                  WHERE :co =:login
                                                                  AND :kolejne_co =:village_id');
 
        $this->zapytanie->bindValue('pole', $this->pole, PDO::PARAM_STR);
        $this->zapytanie->bindValue('tabela', $this->tabela, PDO::PARAM_STR);
        $this->zapytanie->bindValue('co', $this->co, PDO::PARAM_STR);
        $this->zapytanie->bindValue('kolejne_co', $this->kolejne_co, PDO::PARAM_STR);
        $this->zapytanie->bindValue('login', $this->user, PDO::PARAM_STR);
        $this->zapytanie->bindValue('village_id', $this->village_id, PDO::PARAM_STR);
 
        $this->zapytanie->execute();
 
[PHP] pobierz, plaintext 

Ten post edytował Hfastmet 27.04.2010, 19:53:31

[nospor]

Nie binduje się nazw pól ani nazw tabel. Binduje się jedynie wartosci

[Hfastmet]

OK, a czy jest jakaś możliwość by nie wpisywać tabeli oraz pól na sztywno tylko wykonywać to dynamicznie?

[nospor]

[PHP] pobierz, plaintext 
$tabela = 'stock';
$this->zapytanie = $this->connect->prepare('SELECT `Plac` 
                                                                  FROM `'.$tabela.'`
                                                                  WHERE `login` =:login
                                                                  AND `village_id` =:village_id');
[PHP] pobierz, plaintext 

(IMG:style_emoticons/default/smile.gif)

[Hfastmet]

Właśnie o coś takiego chodziło (IMG:style_emoticons/default/smile.gif)

zaraz sprawdzę, jak zadziała klikam "Pomógł" (IMG:style_emoticons/default/smile.gif) )

[Mchl]

Zadziałać zadziała, ale musisz teraz dbać o to, żeby przez tą zmienną nie wlazł Ci jakiś SQL injection.

[Hfastmet]

OK, działa, dużo kodu mi zaoszczędziłeś (IMG:style_emoticons/default/smile.gif)

Co do SQL Injection, pola mam prywatne i ustawiam setterem, chyba nie powinno się nic dziać?

[Mchl]

Jeśli w jakikolwiek sposób ta zmienna może zostać ustawiona przez użytkownika, zabezpiecz ją.
Wyobraź sobie, że ktoś znajdzie sposób, żeby wpisać tam:

Kod

$tabela = 'stock` CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock --';

[Hfastmet]

Użytkownik ogląda tylko wyniki, nie ma możliwości ustawienia tego w żaden sposób.

Ale dzięki za sugestie.