Tabellennamen können in vorbereiteten Anweisungen nicht parametrisiert werden
Trotz Ihrer ersten Versuche, Variablen zum Schutz vor SQL-Injection zu trennen, sind Sie auf Folgendes gestoßen Fehler. Das Problem ergibt sich aus dem Versuch, den Tabellennamen als Parameter einzuschließen.
In einer vorbereiteten Anweisung ist die Parametrisierung auf Werte innerhalb der SQL-Anweisung beschränkt. Der Tabellenname, der die Gültigkeit der Anweisung und die Spaltennamen bestimmt, kann nicht dynamisch ersetzt werden.
Selbst in Schnittstellen wie PDO, die vorbereitete Anweisungen simulieren, führt das Ersetzen des Tabellennamens als Zeichenfolge in Anführungszeichen zu einer ungültigen SQL-Syntax.
Um eine Injektionsschwachstelle zu verhindern, ist es am besten, einen Satz akzeptabler Tabellennamen auf der Whitelist zu führen und Ihre $mytable anhand dieser zu validieren. Code wie „SELECT * FROM {$mytable}“ bleibt eine praktikable Option, vorausgesetzt, Sie stellen die Gültigkeit von $mytable sicher.
Das obige ist der detaillierte Inhalt vonWarum kann ich Tabellennamen nicht als Parameter in vorbereiteten Anweisungen verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!