Bolehkah Penyata Disediakan Mengendalikan Nama Jadual Berparameter untuk Mencegah Suntikan SQL?-tutorial mysql-php.cn

Bolehkah Penyata Disediakan Mengendalikan Nama Jadual Berparameter untuk Mencegah Suntikan SQL?

DDD

Lepaskan： 2025-01-23 17:56:09

asal

843 orang telah melayarinya

Can Prepared Statements Handle Parameterized Table Names to Prevent SQL Injection?

Pernyataan Disediakan: Bolehkah Mereka Mengendalikan Nama Jadual Berparameter?

Artikel ini menangani persoalan penting sama ada pernyataan yang disediakan boleh mengendalikan nama jadual berparameter dengan berkesan untuk mengelakkan kelemahan suntikan SQL.

Masalahnya:

Membenamkan data yang dibekalkan pengguna secara langsung ke dalam pertanyaan SQL, termasuk nama jadual, merupakan risiko keselamatan utama. Pertimbangkan contoh ini:

<code class="language-php">function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}</code>

Salin selepas log masuk

Penggabungan .$new_table. menjadikan fungsi ini terdedah kepada suntikan SQL jika $new_table tidak dibersihkan dengan betul.

Mencuba Parameterisasi:

Percubaan biasa untuk mengurangkan ini adalah dengan mencuba parameter nama jadual:

<code class="language-php">function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}</code>

Salin selepas log masuk

Hakikatnya:

Malangnya, pendekatan ini gagal. Penyataan yang disediakan direka bentuk untuk melindungi daripada suntikan nilai masa jalan, bukan daripada mengubah struktur pertanyaan SQL itu sendiri. Penghurai pangkalan data mentafsir nama jadual sebagai sebahagian daripada struktur pertanyaan, bukan sebagai parameter masa jalan. Menggantikannya dengan pemegang tempat menyebabkan SQL tidak sah.

Walaupun dengan sistem yang menawarkan emulasi pernyataan yang disediakan, seperti PDO, hasilnya akan menjadi pertanyaan yang tidak sah (mis., SELECT * FROM 'mytable' bukannya SELECT * FROM mytable).

Penyelesaian:

Satu-satunya cara yang boleh dipercayai untuk menghalang suntikan SQL apabila berurusan dengan nama jadual yang dibekalkan pengguna ialah menggunakan senarai putih yang ketat. Ini melibatkan pra-takrif senarai nama jadual yang dibenarkan dan memastikan bahawa mana-mana nama jadual yang disediakan pengguna disemak pada senarai putih ini sebelum ia digunakan dalam pertanyaan. Jangan sekali-kali menggunakan input pengguna secara langsung untuk membina pertanyaan SQL yang melibatkan nama jadual.

Atas ialah kandungan terperinci Bolehkah Penyata Disediakan Mengendalikan Nama Jadual Berparameter untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!