开发者社区> 问答> 正文
1
0
分享

我可以在准备好的语句中参数化表名吗?

我已经多次使用mysqli_stmt_bind_param函数。但是,如果我分开试图防止SQL注入的变量,则会遇到错误。

这是一些代码示例:

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ) { $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);"); mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ); $statement->execute(); } 是否有可能以某种方式.$new_table.用另一个问号语句替换串联,制作另一个绑定参数语句或添加到现有的语句中以防止SQL注入?

像这样或某种形式:

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ) {
$statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);"); mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ); $statement->execute(); }

展开
收起
保持可爱mmm 2020-05-08 10:57:29 400 0
举报
飞天免费试用计划
领取免费云资源,开启云上实践第一步
RDS MySQL Serverless 基础系列
0.5-2RCU 50GB
额度3个月内有效
云数据库 RDS MySQL
集群系列 2核4GB
额度3个月内有效
云数据库 RDS PostgreSQL
集群系列 2核4GB
额度1个月内有效
1 条回答
写回答
取消 提交回答
  • 对您的问题的简短回答是“否”。

    从最严格的意义上讲,在数据库级别,准备好的语句仅允许将参数绑定到SQL语句的“值”位。

    一种思考的方式是“可以在语句的运行时执行而不替换其含义的事物”。表名不是这些运行时值之一,因为它确定SQL语句本身的有效性(即,哪些列名有效),并且在执行时对其进行更改将有可能更改SQL语句是否有效。

    在更高的级别上,即使在模拟准备好的语句参数替换而不是实际将准备好的语句发送到数据库的数据库接口(例如PDO)中,也可以想象到,这可以允许您在任何地方使用占位符(因为占位符在发送到在这些系统上的数据库),该表占位符的值是一个字符串,并将其发送到数据库的SQL内封入作为这样,所以SELECT * FROM ?与mytable作为PARAM将实际上最终发送SELECT * FROM 'mytable'到数据库中,这是无效的SQL。

    您最好的选择就是继续

    SELECT * FROM {$mytable} 但是绝对应该有一个白名单的表,如果该表$mytable来自用户输入,则应首先对其进行检查。来源:stack overflow

    2020-05-08 10:57:40 举报
    赞同 评论 打赏

    评论

    全部评论 (0)

    登录后可评论
问答地址:
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等