转义 PDO 语句中的列名

执行分隔标识符的 ANSI 标准方法是：

SELECT "field1" ...

如果名称中有一个 “，请将其加倍：

SELECT "some""thing" ...

不幸的是，这在默认设置的MySQL中不起作用，因为MySQL更愿意认为双引号是字符串文本的单引号的替代方案。在这种情况下，您必须使用反引号（如 Björn 所述）和反斜杠转义。

若要正确执行反斜杠转义，需要mysql_real_escape_string，因为它依赖于字符集。但这一点是没有意义的，因为mysql_real_escape_string和加号都没有逃脱反引号字符。如果可以确定列名中永远不会有非 ASCII 字符，则只需手动反斜杠转义 ' 和 \ 字符即可。

无论哪种方式，这都与其他数据库不兼容。您可以通过ANSI_QUOTES设置配置选项来告诉MySQL允许ANSI语法。同样，默认情况下，SQL Server也会阻塞双引号;它使用另一种语法，即方括号。同样，您可以使用“quoted_identifier”选项将其配置为支持 ANSI 语法。

总结：如果你只需要MySQL兼容性：

a. 使用反引号并禁止在名称中使用反引号、反斜杠和 nul 字符，因为转义它们是不可靠的

如果您需要跨 DBMS 兼容性，请执行下列任一操作：

b. 使用双引号，并要求 MySQL/SQL-Server 用户相应地更改配置。不允许在名称中使用双引号字符（因为 Oracle 甚至无法处理它们，甚至无法转义）。阿尔布

c. 为 MySQL vs SQL Server vs Others 设置，并根据此生成反引号、方括号或双引号语法。禁止双引号和反斜杠/反引号/nul。

这是你希望数据访问层有功能的东西，但PDO没有。

摘要摘要：任意列名是一个问题，如果能帮上忙，最好避免。

摘要摘要：gnnnnnnnnnnnn。

正确的答案是

str_replace("`", "``", $fieldname)

错：

mysql> SELECT `col\"umn` FROM user;
ERROR 1054 (42S22): Unknown column 'col\"umn' in 'field list'

右：

mysql> SELECT `kid``s` FROM user;
ERROR 1054 (42S22): Unknown column 'kid`s' in 'field list'
mysql> SELECT ```column``name``` FROM user;
ERROR 1054 (42S22): Unknown column '`column`name`' in 'field list'

（请注意，在最后一个示例中，列名称中有 3 （三） 个额外的回勾，只是为了显示一个极端情况）