無法在準備好的語句中參數化表名稱
儘管您最初嘗試分離變數以防止SQL 注入,但您還是遇到過錯誤。該問題源於嘗試將表名作為參數包含。
在準備好的語句中,參數化僅限於 SQL 語句中的值。表名決定語句的有效性和列名,無法動態替換。
即使在像 PDO 這樣模擬準備語句的介面中,將表名替換為引號內的字串也會導致無效的 SQL 語法。
為了防止注入漏洞,最好維護一組白名單可接受的表名,並根據它驗證您的 $mytable。如果您確保 $mytable 的有效性,像「SELECT * FROM {$mytable}」這樣的程式碼仍然是一個可行的選擇。
以上是為什麼不能在準備語句中使用表名作為參數?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
