Comment puis-je utiliser en toute sécurité les noms de tables dynamiques dans SQL pour empêcher les attaques par injection ?

Prévention de l'injection SQL avec des noms de table dynamiques

Le problème concernant l'injection SQL avec des noms de table dynamiques découle de la possibilité de manipuler le nom de la table pour exécuter des commandes malveillantes. Cependant, l'utilisation de mysql_real_escape_string ou PDO est insuffisante à cette fin.

mysql_real_escape_string

mysql_real_escape_string est conçu pour protéger les données en échappant aux guillemets qui entourent les valeurs de chaîne. Cependant, il ne parvient pas à résoudre le caractère backtick , qui est essentiel dans les noms de tables dynamiques.

PDO

PDO, tout en assurant l'assainissement des données, n'étend pas cette protection à noms de tables dynamiques.

Solution

La meilleure stratégie pour empêcher l'injection SQL dans de tels Les scénarios consistent à éviter complètement les noms de tables dynamiques. Alternativement, si nécessaire, une validation stricte doit être effectuée pour garantir que le nom de la table dynamique correspond à une liste de valeurs valides, obtenue via une requête SHOW TABLES.

Remarque supplémentaire

Il est essentiel de faire preuve de prudence lorsque vous traitez des noms de tables dynamiques et de bien comprendre les limites des techniques de nettoyage des données pour vous protéger efficacement contre les vulnérabilités d'injection SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!