Bạn không thể ràng buộc tên cột và bảng, chỉ có dữ liệu. Bạn cần chỉ định bảng và sau đó liên kết cho '%calendar weekday%' của bạn .
$stmt = $conn->prepare("SELECT " . $selectLang . " FROM `TranslationsMain` WHERE `location` LIKE ? ORDER BY `sortOrder`, " . $selectedLang);
$stmt->bind_param('s', $calendar_weekday);
Nếu bạn muốn sử dụng tên bảng / cột động, bạn nên thực hiện danh sách trắng tối thiểu của các mục đó. Bạn có thể tạo một danh sách trắng động bằng cách hỏi cơ sở dữ liệu những cột nào hợp lệ cho một bảng cơ sở dữ liệu nhất định. Ví dụ:
SELECT `COLUMN_NAME`
FROM `INFORMATION_SCHEMA`.`COLUMNS`
WHERE `TABLE_SCHEMA` = `database_name`
AND `TABLE_NAME` = `table_name`
Bạn có thể đặt tất cả thông tin này trong các mảng và sau đó kiểm tra để đảm bảo tên bảng / cột được sử dụng trong truy vấn nằm trong mảng. Cần cân nhắc thêm đối với tên bảng và cột, đảm bảo rằng không có từ khóa / từ dành riêng nào được sử dụng cho những tên này.
Cuối cùng, sử dụng dấu gạch ngược xung quanh tên bảng / cột đã được xác thực khi gọi các giá trị cho các truy vấn động. Điều này sẽ bao gồm mọi thay đổi tiềm năng đối với danh sách từ khóa / từ dành riêng và cung cấp một lớp bảo vệ bổ sung.
