Bolehkah Penyata Disediakan Mengendalikan Nama Jadual Dinamik?
Anda cuba melaksanakan pernyataan MySQL yang disediakan dengan pemegang tempat ? , ini bukan ciri yang disokong. Penyata yang disediakan direka untuk mengikat parameter pada bahagian "nilai" bagi pernyataan SQL, dan bukannya elemen struktur seperti nama jadual.
Di peringkat pangkalan data, mengubah suai nama jadual mungkin mengubah kesahihan pernyataan, yang berada di luar skop prapengumpulan. Walaupun dalam antara muka pangkalan data yang membenarkan ruang letak digunakan di mana-mana, nilai pemegang tempat masih ditukar kepada rentetan, jadi SELECT * FROM ? sebenarnya akan menghantar SQL yang tidak sah (iaitu `SELECT * FROM 'mytable' ' ?
Amalan terbaik untuk mengelakkan suntikan ini adalah dengan menggunakan semakan senarai putih. Sebelum membina pertanyaan, sahkan bahawa nama jadual yang dimasukkan berada dalam senarai pra-lulus. Ini akan memastikan bahawa hanya nama jadual selamat digunakan, mengurangkan risiko suntikan SQL.
Atas ialah kandungan terperinci Bolehkah Penyata Disediakan Menggunakan Nama Jadual Dinamik dalam SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Bagaimana untuk membuka fail php
Tiga rangka kerja utama untuk pembangunan android
Kaedah pendaftaran akaun Google
Cara membuat klon WeChat pada telefon bimbit Huawei
Apakah kaedah untuk menukar kata laluan dalam MySQL?
Kaedah crawler Python untuk mendapatkan data
Bagaimana untuk membuka fail dwg
Sebab pemuatan css gagal
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
