> 백엔드 개발 > PHP 튜토리얼 > 준비된 문에서 테이블 이름을 매개변수로 사용할 수 없는 이유는 무엇입니까?

준비된 문에서 테이블 이름을 매개변수로 사용할 수 없는 이유는 무엇입니까?

DDD
풀어 주다: 2024-12-27 12:23:10
원래의
198명이 탐색했습니다.

Why Can't I Use Table Names as Parameters in Prepared Statements?

준비된 명령문에서 테이블 이름을 매개변수화할 수 없습니다

SQL 주입으로부터 보호하기 위해 변수를 분리하려는 초기 시도에도 불구하고 다음과 같은 문제가 발생했습니다. 오류. 문제는 테이블 이름을 매개변수로 포함시키려고 했기 때문에 발생합니다.

Prepared 문에서 매개변수화는 SQL 문 내의 값으로 제한됩니다. 문의 유효성과 컬럼 이름을 결정하는 테이블 이름은 동적으로 대체될 수 없습니다.

Prepared 문을 시뮬레이션하는 PDO와 같은 인터페이스에서도 테이블 이름을 따옴표 안에 문자열로 대체하면 잘못된 SQL 구문이 발생합니다.

삽입 취약성을 방지하려면 화이트리스트에 포함된 허용 가능한 테이블 이름 세트를 유지하고 이에 대해 $mytable의 유효성을 검사하는 것이 가장 좋습니다. $mytable의 유효성이 보장된다면 "SELECT * FROM {$mytable}"과 같은 코드는 여전히 실행 가능한 옵션입니다.

위 내용은 준비된 문에서 테이블 이름을 매개변수로 사용할 수 없는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿