Les instructions préparées peuvent-elles gérer les noms de tables dynamiques ?

Instructions préparées et noms de tables dynamiques : une considération de sécurité

Les instructions préparées sont la pierre angulaire de la prévention des injections SQL. Cependant, leur efficacité est remise en question lorsqu'il s'agit de noms de tables générés dynamiquement. Bien que les instructions préparées excellent dans le paramétrage des valeurs dans une requête, elles ne peuvent pas paramétrer le nom de la table lui-même.

La pratique courante consistant à lier des paramètres pour empêcher l'injection SQL fonctionne bien pour les valeurs de colonne. Mais tenter de remplacer un nom de table à l'aide d'un espace réservé (par exemple, SELECT * FROM ?) dans une instruction préparée échoue généralement. Les systèmes de bases de données interprètent cela comme du SQL invalide. Même les systèmes imitant le comportement des instructions préparées, tels que PDO, échoueront dans ce scénario. Par exemple, SELECT * FROM ? avec le paramètre "mytable" entraînerait probablement une requête non valide SELECT * FROM 'mytable'.

Par conséquent, paramétrer directement les noms de table dans les instructions préparées n'est pas une solution de sécurité viable. Au lieu de cela, une approche de liste blanche est recommandée. Cela implique de prédéfinir une liste autorisée de noms de table. Avant d'exécuter une requête SQL, vérifiez que le nom de table fourni par l'utilisateur existe dans cette liste blanche. Cette méthode, bien que moins élégante que le paramétrage, garantit l'intégrité de la base de données et empêche tout accès non autorisé.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!