В настоящее время я создаю запрос, в котором оба поля/столбца и значения могут состоять из введенных пользователем данных.
Проблема заключается в том, чтобы избежать имен полей. Я использую подготовленные инструкции для правильного удаления и цитирования значений, но при выходе из имен полей я сталкиваюсь с проблемами.
- mysql_real_escape_string требует для нас ресурса соединения mysql, чтобы исключить его.
- PDO:: quote добавляет кавычки вокруг имен полей, которые также делают их бесполезными в запросе
- addlashes работает, но не очень безопасен
У любого есть идея, что лучший способ правильно вставить имена полей в запрос, прежде чем передавать его в PDO:: prepare?