Иван Корюков, да, протупил, тысяча извинений.
Параллельно просто обсуждали одну систему, где история была ровно как описал - все типа лечилось prepare и все.
Чтобы не словить, думаю, проще array_key_exists и все.
А в идеале как сказал другой оратор - show columns.
Что-то сильно сомневаюсь про защиту.
Защищен он тогда, когда запрос параметризуется.
А там параметризован только LIKE.
А в поля из запроса можно передать все, что угодно и это уйдет на сервер, а в конце будет подставлено условие в LIKE.
Почему-то все считают, что если написать хрень и вызвать Prepare, то автоматом случится чудо...
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Параллельно просто обсуждали одну систему, где история была ровно как описал - все типа лечилось prepare и все.
Чтобы не словить, думаю, проще array_key_exists и все.
А в идеале как сказал другой оратор - show columns.