Dein Code öffnet
SQL-Injection Tür und Tor. Wenn ich als Tabellenname nun eingebe
'DeineTabelle where 1=0; DROP DATABASE DeineDB --'. Und dann ist deine Datenbank weg. Oder deine Tabelle. Oder deine Festplatte. Oder Du hast gerade einen Trojaner downgeloaded. Oder Oder Oder.
Mein Gedankengang ist hoffentlich erkennbar. Was schlägst du stattdessen vor?