将可变数量的参数传递给php函数的最佳方式是什么?我的意思是,假如我有以下几点:将可变数量的参数传递给php函数的最佳方式
function my_func($a, $b, $c) {
$q = 'SELECT ' . $a . ' FROM ' . $b . ' WHERE status IS NULL';
}
my_func('id', 'table');
my_func('id', 'table', ' AND x = 1');
我读过有关func_get_arg()
,但如果我在第一种情况下调用func_get_arg(2)
,我会得到一个,Argument 2 not passed to function
错误。
重要提示:该查询不是用用户传递的参数执行的,所以没有注入攻击!它由我提供的受控参数执行,其功能是检查该值是否在外键组合内有效!所以请不要讽刺“注入天堂”的评论,谢谢。
请不要使用字符串连接形成SQL。请改用参数化或准备好的查询。 – Dai
你可以设置一个数组作为变量,在那里你可以设置多达你想要的数字 –
SQL注入天堂 –