[MySQL][PHP]Problem w zapytaniu (PDO) Opcje

[brzoza91]

Witam
Mam taką funkcje

[PHP] pobierz, plaintext 
public function getAll($table) {
        $sel=$this->pdo->prepare("SELECT * FROM :table");
        $sel -> bindValue(':table', $table, PDO::PARAM_STR);
        $sel -> execute();
        $sel->setFetchMode(PDO::FETCH_ASSOC);
        foreach ($sel as $row){
            $data[]=$row;   
        }
        $sel->closeCursor();
 
        return($data); 
    }
[PHP] pobierz, plaintext 

i gdy używam takiego wywołania

[PHP] pobierz, plaintext 
getAll('dish');
[PHP] pobierz, plaintext 

wyskakuje mi taki błąd. Dlaczego tak się dzieje ? Bo gdy wpiszę na sztywno w zapytaniu

[SQL] pobierz, plaintext 
SELECT * FROM dish
[SQL] pobierz, plaintext 

to działa.


Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''dish'' at line 1' in model.php on line 59

Ten post edytował brzoza91 20.07.2012, 20:45:09

[Rysh]

Dodaje Ci ' ' zapewne podczas bindValue.

BTW, dlaczego nie używasz fetchAll()?

[brzoza91]

BTW, dlaczego nie używasz fetchAll()?

teraz już używam

próbowałem tak, ale dalej taki sam błąd

[PHP] pobierz, plaintext 
$table=str_replace("'", '', $table) 
[PHP] pobierz, plaintext 

[Rysh]

Kolego zauważ, że PDO przy bindowaniu zamienia ciąg znaków :test na zmienną. Tylko zmienną osadza jeszcze w ' ' czyli co?

Przykład:

Kod

SELECT * FROM tabela WHERE name = :name

zamieni na:

Kod

SELECT * FROM tabela WHERE name = 'zmienna'

zauważ, że do stringa i tak nie dajesz '' jako wartość SQL, ponieważ PDO sam to uczyni.

Czyli to Twój przykład:

Kod

SELECT * FROM :tabela

zamieni na:

Kod

SELECT * FROM 'tabela'

A domyślam się, że phpmyadmin też Ci identyczny błąd w tym przypadku wywali.

[brzoza91]

kurcze, to już nie wiem jak to rozwiązać

[!*!]

Nie można bindować nazw tabel.

[markonix]

kurcze, to już nie wiem jak to rozwiązać

Użyj tradycyjnego sposobu i wlej nazwę tabeli do zapytania zwykłą zmienną.
I tak funkcja jest pewnie wykonywana tylko przez skrypty, wątpię, żeby jej argument był wysyłany z formularza, a nawet gdyby to po prostu proste wyrażenie regularne na początku dla bezpieczeństwa.

Druga sprawa kopiujesz funkcjonalność metody PDO, która istnieje tj PDOStatement::fetchAll
(ktoś wie jaką dać nazwę aby tag "manual" prawidłowo zalinkował?)

Ten post edytował markonix 22.07.2012, 13:24:36