プリペアドステートメントのパラメータとしてテーブル名を使用できないのはなぜですか?

準備されたステートメントでテーブル名をパラメーター化できません

SQL インジェクションから保護するために変数を分離しようとした最初の試みにもかかわらず、次のような問題が発生しました。エラー。この問題は、テーブル名をパラメータとして含めようとしたことが原因で発生します。

プリペアド ステートメントでは、パラメータ化は SQL ステートメント内の値に限定されます。ステートメントの有効性を決定するテーブル名と列名は、動的に置換できません。

プリペアド ステートメントをシミュレートする PDO などのインターフェイスでも、テーブル名を引用符内の文字列として置換すると、無効な SQL 構文が発生します。

インジェクションの脆弱性を防ぐには、ホワイトリストに登録された許容可能なテーブル名のセットを維持し、それに対して $mytable を検証することが最善です。 $mytable の有効性を保証する限り、「SELECT * FROM {$mytable}」のようなコードは引き続き実行可能なオプションです。

以上がプリペアドステートメントのパラメータとしてテーブル名を使用できないのはなぜですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。