Ho una variabile php che contiene il nome della tabella da cui prendere i dati:
codice:
"SELECT * FROM `$table` WHERE campo='valorequalsiasi';"
Questa variabile non la creo io, al contrario è contenuta nell'url.
La domanda quindi è: come faccio ad evitare una sql injection?
Secondo voi sono al sicuro se mi creo una funzione che verifica che il nome della tabella contenga solo numeri, lettere e i caratteri - e _ ? Oppure per eludere tale controllo basterebbe la notazione esadecimale?