Les instructions préparées PHP PDO peuvent-elles utiliser des paramètres pour les noms de tables ou de colonnes ?

Les paramètres peuvent-ils remplacer les noms de table ou de colonne dans les instructions PDO PHP ?

Il est impossible de transmettre des noms de table en tant que paramètres aux instructions PDO préparées. Considérez le code suivant qui tente de le faire :

$stmt = $dbh->prepare('SELECT * FROM :table WHERE 1');
if ($stmt->execute(array(':table' => 'users'))) {
    var_dump($stmt->fetchAll());
}

Cette approche entraînera une erreur, car les noms de table et de colonne ne peuvent pas être remplacés par des paramètres.

Insertion sécurisée de Noms de table dans les requêtes SQL

Pour insérer en toute sécurité des noms de table dans les requêtes SQL, une approche alternative est nécessaire. Évitez de saisir directement les entrées de l'utilisateur dans la requête, telles que :

$sql = "SELECT * FROM $table WHERE 1"

Envisagez plutôt de filtrer et de nettoyer les entrées. Une méthode consiste à transmettre des paramètres abrégés à une fonction qui exécutera dynamiquement la requête. Une instruction switch() peut ensuite être utilisée pour mettre sur liste blanche les noms de tables valides. Par exemple :

function buildQuery( $get_var ) 
{
    switch($get_var)
    {
        case 1:
            $tbl = 'users';
            break;
    }

    $sql = "SELECT * FROM $tbl";
}

En omettant un cas par défaut ou en en utilisant un qui affiche un message d'erreur, vous garantissez que seules les valeurs souhaitées seront utilisées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!