Mencegah Suntikan SQL dengan Nama Jadual Dinamik
Sebagai tindak balas kepada perbincangan tentang mencegah suntikan SQL, telah dicadangkan bahawa menggunakan PDO atau mysql_real_escape_string tidak berkesan untuk melindungi nama jadual dinamik. Walau bagaimanapun, analisis lanjut mendedahkan kesahihan cadangan ini dalam keadaan tertentu.
mysql_real_escape_string Limitation
Walaupun mysql_real_escape_string berkesan melepaskan diri daripada data rentetan dalam petikan, ia menjadi pendek apabila berurusan dengan dinamik nama jadual. Fungsi escape hanya menyasarkan aksara dalam petikan, meninggalkan aksara backtick tidak berubah. Pengawasan ini mewujudkan kelemahan untuk penyerang untuk melaksanakan suntikan SQL dengan memasukkan backtick penutup ke dalam input mereka.
Penghadan PDO
Begitu juga dengan mysql_real_escape_string, PDO tidak menyediakan perlindungan langsung terhadap suntikan SQL yang melibatkan jadual dinamik nama.
Pendekatan Disyorkan
Untuk mengurangkan risiko suntikan SQL apabila menggunakan nama jadual dinamik, adalah dinasihatkan untuk menggunakan strategi alternatif:
Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan Nama Jadual Dinamik dengan Selamat dalam SQL untuk Mencegah Suntikan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!