Pouvez-vous paramétrer les noms de tables dans les instructions préparées pour empêcher l'injection SQL ?

Paramétrage des noms de table dans les instructions préparées

L'injection SQL est une vulnérabilité de sécurité critique qui se produit lorsque l'entrée brute de l'utilisateur est directement insérée dans une requête de base de données . Pour atténuer ce risque, les instructions préparées offrent un moyen sécurisé d'exécuter des requêtes paramétrées. Cependant, la question se pose : peut-on paramétrer les noms de tables pour se protéger contre l'injection SQL ?

Réponse : Non

Les instructions préparées permettent uniquement de lier les paramètres aux "valeurs " partie de l'instruction SQL. Les noms de tables ne peuvent pas être paramétrés car ils déterminent la validité de la requête. Changer le nom de la table peut modifier la signification de la requête et potentiellement conduire à des failles de sécurité.

Certaines interfaces de base de données, comme PDO, peuvent autoriser la substitution d'espaces réservés pour les noms de table. Cependant, la valeur serait entourée sous forme de chaîne, ce qui entraînerait un code SQL non valide lors de son exécution. Par exemple, SELECT FROM ? avec mytable comme paramètre serait envoyé sous la forme SELECT FROM 'mytable' à la base de données, ce qui n'est pas valide.

Bonne pratique

Pour se protéger contre l'injection SQL avec les noms de table fournis par l'utilisateur, il est recommandé de :

• Utiliser une liste blanche de noms de table autorisés et vérifier avant d'utiliser la variable $mytable.
• Concaténez le nom de la table avec la requête, en vous assurant que la variable $mytable est nettoyée avant utilisation.

N'oubliez pas qu'il est crucial de mettre en œuvre une validation d'entrée appropriée et mesures de sécurité pour empêcher les manipulations non autorisées des tables et les violations potentielles de données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!