Können Sie einen Tabellennamen in eine PHP-PDO-Abfrage binden?

PHP PDO – Tabellenname binden? [Duplikat]

Bei der Programmierung ist es oft notwendig, dynamisch mit Datenbanktabellen zu interagieren. Beispielsweise möchten Sie möglicherweise Formulareingaben basierend auf den Spalten einer bestimmten Tabelle generieren. Bei Verwendung von PHP PDO könnten Sie erwägen, den Tabellennamen an eine Abfrage zu binden, um Spaltendetails abzurufen.

Dieser Ansatz birgt jedoch ein Sicherheitsrisiko. Durch das Binden eines Tabellennamens können Benutzer auf jede Tabelle in Ihrer Datenbank zugreifen und möglicherweise vertrauliche Informationen offenlegen. Stattdessen ist es wichtig, zulässige Tabellennamen auf die Whitelist zu setzen und einen sichereren Ansatz zu verwenden.

Eine empfohlene Lösung besteht darin, eine abstrakte Basisklasse für Datenbanktabellen zu erstellen, z. B. abstractTable. Diese Klasse kann allgemeine Funktionen enthalten, wie eine Eigenschaft zum Speichern des Tabellennamens und eine Methode zum Abrufen von Spaltendetails.

Nachfolgende Klassen können von dieser Basisklasse erben und ihre spezifischen Tabellennamen angeben. Sie könnten beispielsweise eine someTable-Klasse erstellen, die abstractTable erweitert und ihre Tabelleneigenschaft auf „sometable“ setzt.

Mit diesem Ansatz können Sie Spaltendetails für eine bestimmte Tabelle sicher abrufen:

$pdo = new PDO(...);
$table = new someTable($pdo);
$fields = $table->describe();

Diese Methode ist sicherer, da sie den Zugriff nur auf die Tabellen auf der Whitelist beschränkt und verhindert, dass Benutzer auf beliebige Tabellen in Ihrer Datenbank zugreifen.

Das obige ist der detaillierte Inhalt vonKönnen Sie einen Tabellennamen in eine PHP-PDO-Abfrage binden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!