> 백엔드 개발 > PHP 튜토리얼 > 준비된 문이 SQL의 테이블 이름을 매개변수화할 수 있습니까?

준비된 문이 SQL의 테이블 이름을 매개변수화할 수 있습니까?

Barbara Streisand
풀어 주다: 2024-12-24 21:17:37
원래의
263명이 탐색했습니다.

Can Prepared Statements Parameterize Table Names in SQL?

매개변수화된 문이 테이블 이름을 처리할 수 있나요?

준비된 문에서 테이블 이름을 매개변수화하려고 할 때 문제가 발생했습니다. SQL 삽입 방지를 위해 변수를 분리하면 오류가 발생합니다.

제공하신 코드에는 새 테이블 이름을 물음표 문으로 바인딩하려고 시도하는 insertRow 함수가 포함되어 있습니다.

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}
로그인 후 복사

안타깝게도 준비된 명령문에서 테이블 이름을 매개변수화하는 것은 불가능합니다. 준비된 문에서는 매개변수를 SQL 문의 "값" 요소에 바인딩하는 것만 허용합니다. 테이블 이름은 런타임 값이 아니며 명령문의 유효성을 변경하여 잠재적으로 의미를 변경합니다.

PDO와 같은 데이터베이스 인터페이스가 어디에서나 자리 표시자 대체를 허용하더라도 테이블 자리 표시자의 값은 SQL로 인해 잘못된 SQL이 발생합니다.

SQL 삽입을 방지하려면 테이블의 화이트리스트를 사용하고 이 목록에 대해 사용자 입력을 확인하는 것이 중요합니다. 코드는 다음과 유사해야 합니다.

if (in_array($mytable, $whitelist)) {
    $result = $db->query("SELECT * FROM {$mytable}");
}
로그인 후 복사

위 내용은 준비된 문이 SQL의 테이블 이름을 매개변수화할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿