Mysql
 sql >> Base de données >  >> RDS >> Mysql

L'instruction préparée ne fonctionne pas avec les requêtes de table ALTER

http://dev.mysql.com/doc/refman/5.6 /fr/preparer.html dit :

Par identifiants ils signifient des noms de base de données, des noms de table, des noms de colonne, des noms d'index, des noms de partition, etc.

Par valeurs de données, elles désignent un littéral numérique, un littéral de chaîne entre guillemets ou un littéral de date entre guillemets.

Pour ajouter une nouvelle colonne, vous devez inclure le nom de cette colonne dans la chaîne SQL avant de préparer la requête. Cela signifie que c'est à vous de vous assurer qu'il n'y a pas de caractères amusants dans le nom de la colonne qui pourraient créer une vulnérabilité d'injection SQL.