Maison > développement back-end > tutoriel php > Les instructions préparées peuvent-elles paramétrer les noms de tables en SQL ?

Les instructions préparées peuvent-elles paramétrer les noms de tables en SQL ?

Barbara Streisand
Libérer: 2024-12-24 21:17:37
original
263 Les gens l'ont consulté

Can Prepared Statements Parameterize Table Names in SQL?

Les instructions paramétrées peuvent-elles gérer les noms de table ?

Vous avez rencontré un problème en essayant de paramétrer le nom de la table dans une instruction préparée. La séparation des variables destinées à la protection contre l'injection SQL a entraîné des erreurs.

Le code que vous avez fourni inclut la fonction insertRow, qui tente de lier le nouveau nom de table sous forme d'instruction de point d'interrogation.

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}
Copier après la connexion

Malheureusement, paramétrer le nom de la table dans une instruction préparée n'est pas possible. Les instructions préparées permettent uniquement de lier les paramètres aux éléments « valeur » d'une instruction SQL. Les noms de table ne sont pas des valeurs d'exécution et modifient la validité de l'instruction, modifiant potentiellement sa signification.

Même si une interface de base de données comme PDO autorisait la substitution d'espace réservé n'importe où, la valeur de l'espace réservé de la table serait une chaîne incluse dans le SQL, ce qui entraîne un SQL invalide.

Pour se protéger contre l'injection SQL, il est essentiel d'utiliser une liste blanche de tables et de vérifier les entrées de l'utilisateur par rapport à cette liste. Votre code doit ressembler à ce qui suit :

if (in_array($mytable, $whitelist)) {
    $result = $db->query("SELECT * FROM {$mytable}");
}
Copier après la connexion

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal