在准备好的语句中参数化表名:可能吗?
尝试在准备好的语句中参数化表名通常会导致 SQL 注入漏洞。虽然 mysqli_stmt_bind_param 函数允许将参数绑定到值,但它不支持参数化表名称。
例如,以下代码片段演示了参数化表名称的尝试:
但是,这种方法是不正确的,并且在执行时会导致无效的查询。准备好的语句旨在将参数绑定到特定值,表名不被视为可参数化的值。
相反,建议将静态表名与允许值白名单结合使用,以防止SQL注入。例如:
此方法可确保仅使用有效的表名,从而减轻与动态表名更改相关的 SQL 注入风险。
以上是是否可以在准备语句中对表名进行参数化以防止 SQL 注入?的详细内容。更多信息请关注PHP中文网其他相关文章!
