是否可以从输入类型的结果中选择列

这可能吗？我希望能够只选择我在html表单中指定的列，但我不知道如何执行此操作。我搜索了一段时间，但无法找到与我的想法相匹配的任何内容。是否可以从输入类型的结果中选择列

任何帮助将不胜感激。

echo "<select name='test'><option value='column1'>Column1</option></select>" 
    echo "<input type='submit' name='grafiek' value='Maak grafiek'>"; 
    if(isset($_POST['checkvakje']) && $_POST['test'] && $_POST['grafiek']) { 
     $tijd = $_POST['checkvakje']; 

     foreach($tijd as $time) { 
     try { 
      $stmt = $pdo->prepare("SELECT [the column i selected] FROM statistieken WHERE tijd = :tijd AND poortid = :poort"); 
      $stmt->execute(array(":tijd" => $time, ":poort" => $poort)); 

      if($stmt->rowCount() > 0) { 
      while($row = $stmt->fetch()) { 
       echo "<tr>"; 
       echo "<td>".$row['column i selected']."</td>"; 
       echo "</tr>"; 
      } 
      } 
     } 
     catch(PDOexception $e) { 
      echo "Query ging fout: " . $e->getMessage() .""; 
     } 
     } 
    }

来源

2017-05-23 vaxzz

您可以选择用户选择列，但不直接使用表单值进行查询。使用一些条件来检查它的有效列不是，然后使用。 – JYoThI

您选择的列存储在'$ _POST ['test']'中，不是吗？ – Ollaw

@Ollaw，这是正确的。我自己尝试了几件事，但没有任何运气。 – vaxzz

不通过参数绑定。

了解列名称，您必须验证输入是否与白名单匹配，以便没有错误，更重要的是 - 它是安全的。

例如：

$allowedColumns = ['foo', 'bar', 'baz']; 

if (in_array($_POST['column'], $allowedColumns, true)) { 
    $column = $_POST['column']; 
} else { 
    // Error: Invalid input 
} 

$sql = "SELECT {$column} FROM dummy WHERE whatever = 'example'";

来源

2017-05-23 11:52:02 Narf

为什么不通过参数绑定？ – Ollaw

正是我想要的，非常感谢帮助！ – vaxzz

因为它不是一个参数;即不是字段*值*。用户选择列名是非常罕见的。 – Narf

选择所有列，只是控制它在PHP侧这样

while($row = $stmt->fetch()) 
{ 

      echo "<tr>"; 
      echo "<td>".$row[$_POST['test']]."</td>"; 
      echo "</tr>"; 
}

注意：在使用用户数据作为列名看上去有那么多的安全问题

来源

2017-05-23 11:56:31 JYoThI

回答

相关问题