PDO обновление с переменными внутри запроса

Question

Ok поэтому я хранить столбец, я хочу, чтобы обновить в стороне переменную, поэтому мне нужно поставить переменную в сторону основного запроса я попытаться сделать это как так

$sqlltyryrt = "UPDATE user_items SET :fggdgdf = :fggdgdf +1 WHERE username=?"; 
    $qqqqq = $db->prepare($sqlltyryrt); 
$qqqqq->execute(array('fggdgdf'=>$fggdgdf),$_SESSION['username']); 

Я искал ответ и нашел нить здесь на сайте делает то же самое:

• Using a passed variable in a query using PDO (октябрь 2011, по Don S)

Answer 1

$sqlltyryrt = "UPDATE user_items SET :fggdgdf = :fggdgdf +1 WHERE username=?"; 
$qqqqq = $db->prepare($sqlltyryrt); 
$qqqqq->execute(array('fggdgdf'=>$fggdgdf),$_SESSION['username']); 

Вы не можете связывать имена столбцов; так что это не сработает. Там нет никакого способа, чтобы использовать связанную переменную для имени столбца или таблицы, так что единственный способ сделать это на самом деле интерполировать переменные в строку:

$sqlltyryrt = "UPDATE user_items SET $fggdgdf = $fggdgdf +1 WHERE username=?"; 
$qqqqq = $db->prepare($sqlltyryrt); 
$qqqqq->execute(array($_SESSION['username'])); 

Но вы должны быть очень уверены, что вы имеете дезактивировать переменные, иначе вы открыты для SQL-инъекции. Вы можете использовать белый список для этого, так как вы должны иметь возможность генерировать массив возможных имен столбцов и можете проверить, что переменные присутствуют в этом массиве.

Но тот факт, что вы пытаетесь связать имена комментариев, подразумевает, что ваш дизайн базы данных мог бы делать с просмотром.