MySQL 使用变量作为表名创建表

在MySQL中，有时我们需要动态地创建表，这时可以使用变量作为表名来创建表。本文将介绍如何在MySQL中使用变量作为表名创建表。

阅读更多：MySQL 教程

示例

我们来看一个简单的示例，假设存在一个变量table_name，我们要使用这个变量来创建一个表，该表包含id和name两个列。那么可以使用以下语句来实现：

SET @table_name = 'my_table';
SET @query = CONCAT('CREATE TABLE ', @table_name, ' (id INT, name VARCHAR(20))');
PREPARE stmt FROM @query;
EXECUTE stmt;

在这个示例中，首先将变量table_name设置为my_table，然后使用CONCAT函数将table_name插入到CREATE TABLE语句中，生成最终的创建表语句。接着使用PREPARE语句和EXECUTE语句执行该创建表语句。

需要注意的是，在使用PREPARE语句前，需要使用CONCAT函数将变量插入到SQL语句中，这样在执行PREPARE语句时才会正确解析其中的参数。

使用变量作为表名时的注意事项

变量名的合法性

在MySQL中，表名需要满足一些命名规则，例如：

表名不能以数字开头，但可以包含数字
表名只能包含字母、数字、下划线和美元符号
表名不能包含空格

因此，使用变量名作为表名时，需要确保变量名满足MySQL的命名规则。

SQL注入

当使用变量名作为表名时，需要注意防止SQL注入攻击。SQL注入攻击是指恶意用户通过在SQL语句中插入恶意代码，以达到非法访问或控制数据的目的。因此，在使用变量名作为表名时，需要对输入的变量进行安全检查和过滤，不能直接将变量插入到SQL语句中。

例如，以下示例演示了在使用变量名作为表名时，如何使用MySQL自身的函数对变量进行过滤，从而防止SQL注入攻击：

SET @table_name = 'my_table; DROP TABLE my_table2';
SET @table_name_safe = QUOTE(@table_name);
SET @query = CONCAT('CREATE TABLE IF NOT EXISTS ', @table_name_safe, ' (id INT, name VARCHAR(20))');
PREPARE stmt FROM @query;
EXECUTE stmt;

在这个示例中，首先将变量table_name设置为my_table; DROP TABLE my_table2，这是一个包含SQL注入攻击代码的变量。然后使用QUOTE函数将该变量转义为字符串，并将安全的字符串赋值给table_name_safe变量。最后在CREATE TABLE语句中，使用IF NOT EXISTS关键字判断表是否存在，从而防止多次创建同名表。