长话短说,我有一个管理部分,用户可以从多个下拉列表中选择必须查询以获取某些值的表和字段。因此,在Zend中查询是通过连接字符串在ZEND中引用原始数据库以避免sql注入
$query = "SELECT $fieldName1, $fieldName2 from $tableName where $fieldName1 = $value";
我怎样才能逃避使用Zend的方法来避免SQL注入上述执行?我试图将它们全部添加为?并调用quoteinto但似乎这不适用于某些变量(如表名或字段名称)