Obecnie buduję zapytanie, w którym zarówno pole / kolumna, jak i części wartości mogą składać się z danych wprowadzonych przez użytkownika.

Problem polega na ucieczce z nazw pól. Używam przygotowanych instrukcji, aby poprawnie uciec i cytować wartości, ale podczas ucieczki z nazw pól wpadam w kłopoty.

mysql_real_escape_string wymaga zasobu połączenia mysql, abyśmy byli wykluczeniPDO :: quote dodaje cudzysłowy wokół nazw pól, co czyni je również bezużytecznymi w zapytaniuaddslashes działa, ale nie jest naprawdę bezpieczny

Każdy ma pomysł na to, co jest najlepszym sposobem na poprawne wstawienie nazw pól do zapytania przed przekazaniem go do PDO :: przygotowanie?