SQL インジェクションを防ぐために、準備されたステートメントでテーブル名をパラメータ化できますか?

プリペアド ステートメント内のテーブル名のパラメータ化: 可能ですか?

プリペアド ステートメント内でテーブル名をパラメータ化しようとすると、一般に SQL インジェクションの脆弱性が発生します。 mysqli_stmt_bind_param 関数ではパラメータを値にバインドできますが、パラメータ化されたテーブル名はサポートされていません。

たとえば、次のコード スニペットはテーブル名をパラメータ化する試みを示しています。

function insertRow($db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol) {
    $statement = $mysqli->prepare("INSERT INTO ? VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param($statement, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol));
    $statement->execute();
}

ただし、このアプローチは間違っており、実行すると無効なクエリが生成されます。プリペアド ステートメントはパラメータを特定の値にバインドするように設計されており、テーブル名はパラメータ化できる値とはみなされません。

代わりに、静的テーブル名を、許可される値のホワイトリストと組み合わせて使用​​して保護することをお勧めします。 SQLインジェクション。例:

function insertRow($db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol) {
    if (!in_array($new_table, $allowed_tables)) {
        throw new Exception("Invalid table name");
    }

    $statement = $mysqli->prepare("INSERT INTO $new_table VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param($statement, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol);
    $statement->execute();
}

このアプローチにより、有効なテーブル名のみが使用されるようになり、動的なテーブル名の変更に伴う SQL インジェクションのリスクが軽減されます。

以上がSQL インジェクションを防ぐために、準備されたステートメントでテーブル名をパラメータ化できますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。