Bonjour,
Bon. pour mettre à jour mes tutos, je me lance dans PDO.
J'en suis à Comprendre PDO, et déjà une question :
-> comment faire/préparer une requête avec un nom de table en variable ?
j'ai vu ceci :
on oublie donc (?)le nom d'une table ne peut faire l'objet d'un paramètre.
-> alors comment la sécuriser si j'écris (?)
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2 $query = "SELECT blabla FROM :T_TABLE;"; $query->bindValue(':T_TABLE', $TABLE_NEWS, PDO::PARAM_STR); // ca ne fonctionne pas
- mysql_real_escape_string() est-il encore valable ou non (?)
Code : Sélectionner tout - Visualiser dans une fenêtre à part $query = "SELECT blabla FROM ".$T_TABLE.";";
- htmlspecialchars() (?)
Merci.
Partager