プリペアドステートメントはパラメータ化されたテーブル名を処理して SQL インジェクションを防ぐことができますか?

準備されたステートメント: パラメーター化されたテーブル名を処理できますか?

この記事では、準備されたステートメントがパラメータ化されたテーブル名を効果的に処理して SQL インジェクションの脆弱性を防ぐことができるかどうかという重要な問題について説明します。

問題:

ユーザーが指定したデータ (テーブル名など) を SQL クエリに直接埋め込むことは、重大なセキュリティ リスクです。 次の例を考えてみましょう:

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

連結 .$new_table. により、$new_table が適切にサニタイズされていない場合、この関数は SQL インジェクションに対して脆弱になります。

パラメータ化を試みています:

これを軽減する一般的な試みは、テーブル名をパラメータ化することです。

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

現実:

残念ながら、このアプローチは失敗します。 準備されたステートメントは、SQL クエリ自体の 構造 の変更ではなく、実行時 値の挿入から保護するように設計されています。 データベース パーサーは、テーブル名を実行時パラメーターとしてではなく、クエリ構造の一部として解釈します。 これをプレースホルダーに置き換えると、無効な SQL になります。

PDO のようなプリペアドステートメントエミュレーションを提供するシステムであっても、結果は無効なクエリになります (例: SELECT * FROM 'mytable' の代わりに SELECT * FROM mytable)。

解決策:

ユーザー指定のテーブル名を扱うときに SQL インジェクションを防ぐ唯一の信頼できる方法は、厳密な ホワイトリスト を採用することです。 これには、許可されるテーブル名のリストを事前に定義し、ユーザーが指定したテーブル名がクエリで使用される前にこのホワイトリストに対してチェックされるようにすることが含まれます。 ユーザー入力を直接使用して、テーブル名を含む SQL クエリを構築しないでください。

以上がプリペアドステートメントはパラメータ化されたテーブル名を処理して SQL インジェクションを防ぐことができますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。