PHP, MY SQL query di errore

Question

Ho un'applicazione che passa per il mio PHP una variabile (nomecardapioBD e che ha ricevuto e registrato nella variabile: nomecardapioBD) che è il nome della tabella che voglio selezionare tutte le righe e le colonne .

Ma per ricevere la variabile via posta non è possibile effettuare l'appuntamento. Qualcuno può dirmi cosa c'era di sbagliato in questa parte del mio codice?

$query = "Select * FROM :nomecardapioBD "; 

    $query_params = array(
     ':nomecardapioBD' => $_POST['nomecardapioBD'] 
    ); 

//execute query 
try { 
    $stmt = $db->prepare($query); 
    $result = $stmt->execute($query_params); 
} 
catch (PDOException $ex) { 
    $response["success"] = 0; 
    $response["message"] = "Database Error!"; 
    die(json_encode($response)); 
} 

// Finally, we can retrieve all of the found rows into an array using fetchAll 
$rows = $stmt->fetchAll(); 

Answer 1

I nomi di tabella e colonna non possono essere sostituiti dai parametri in PDO. Basta usarlo come

$table=$_POST['nomecardapioBD']; 
$query = "Select * FROM $table"; 


//execute query 
try { 
    $stmt = $db->prepare($query); 
    $result = $stmt->execute(); 
} 
catch (PDOException $ex) { 
    $response["success"] = 0; 
    $response["message"] = "Database Error!"; 
    die(json_encode($response)); 
} 

Answer 2

Perché no?

$query = "Select * FROM " . $_POST['nomecardapioBD']; 


//execute query 
try { 
    $stmt = $db->prepare($query); 
    $result = $stmt->execute(); 
} 
catch (PDOException $ex) { 
    $response["success"] = 0; 
    $response["message"] = "Database Error!"; 
    die(json_encode($response)); 
} 

// Finally, we can retrieve all of the found rows into an array using fetchAll 
$rows = $stmt->fetchAll(); 

Si dovrebbe anche fare una sorta di sanitizzazione dell'input.