Z dokumentace :
To umožňuje např. předat názvy sloupců jako parametry dotazu atd.
Nezapomeňte vždy dezinfikovat data, která přímo vkládáte do SQL.
Pokud potřebujete vygenerovat více podmínek pro WHERE klauzuli, použijte <where> tag s <foreach> uvnitř. Všimněte si, že <foreach> má pokročilé atributy, které umožňují specifikovat oddělovač, počáteční/koncový řetězec atd. V kombinaci s ${} zápis, o kterém jsem se již zmínil, umožňuje konstrukci dynamického WHERE doložka. Příklad naleznete v této odpovědi
.