プリペアドステートメントはパラメータ化されたテーブル名を処理して SQL インジェクションを防ぐことができますか?-mysql チュートリアル-php.cn

ホームページ

データベース

mysql チュートリアル

プリペアドステートメントはパラメータ化されたテーブル名を処理して SQL インジェクションを防ぐことができますか?

DDD

Jan 23, 2025 pm 05:56 PM

Can Prepared Statements Handle Parameterized Table Names to Prevent SQL Injection?

準備されたステートメント: パラメーター化されたテーブル名を処理できますか?

この記事では、準備されたステートメントがパラメータ化されたテーブル名を効果的に処理して SQL インジェクションの脆弱性を防ぐことができるかどうかという重要な問題について説明します。

問題:

ユーザーが指定したデータ (テーブル名など) を SQL クエリに直接埋め込むことは、重大なセキュリティリスクです。次の例を考えてみましょう:

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

連結 .$new_table. により、$new_table が適切にサニタイズされていない場合、この関数は SQL インジェクションに対して脆弱になります。

パラメータ化を試みています:

これを軽減する一般的な試みは、テーブル名をパラメータ化することです。

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

現実:

残念ながら、このアプローチは失敗します。準備されたステートメントは、SQL クエリ自体の構造の変更ではなく、実行時 値の挿入から保護するように設計されています。データベースパーサーは、テーブル名を実行時パラメーターとしてではなく、クエリ構造の一部として解釈します。これをプレースホルダーに置き換えると、無効な SQL になります。

PDO のようなプリペアドステートメントエミュレーションを提供するシステムであっても、結果は無効なクエリになります (例: SELECT * FROM 'mytable' の代わりに SELECT * FROM mytable)。

解決策:

ユーザー指定のテーブル名を扱うときに SQL インジェクションを防ぐ唯一の信頼できる方法は、厳密な ホワイトリスト を採用することです。これには、許可されるテーブル名のリストを事前に定義し、ユーザーが指定したテーブル名がクエリで使用される前にこのホワイトリストに対してチェックされるようにすることが含まれます。ユーザー入力を直接使用して、テーブル名を含む SQL クエリを構築しないでください。

以上がプリペアドステートメントはパラメータ化されたテーブル名を処理して SQL インジェクションを防ぐことができますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

MySQLで既存のビューをドロップまたは変更するにはどうすればよいですか？May 16, 2025 am 12:11 AM

todropaviewinmysql、 "dropviewifexistsview_name;" andtomodifyaviewを使用して、 "createorreplaceviewview_nameasselect ..."を使用します

MySQLビュー：どのデザインパターンを使用できますか？May 16, 2025 am 12:10 AM

mysqlviewscanefectiveativeativeizedesignpatternslikeadapter、decorator、factory、andobserver.1）adapterpatternadaptsdatafromdifferenttablesintoaunifiedview.2）decoratorpatternenhancesdatawithedfieldsfieldsiffieldsiffieldsiffiedを

MySQLでビューを使用することの利点は何ですか？May 16, 2025 am 12:09 AM

viewsinmysqlarebenefentialforsimprifiningcomplexqueries、拡張セキュリティ、ダタコンシーニング、および最適化されたパフォーマンスを保証する1）itsmplifyififycomplexqueriesbyencapsulsingthemintoreusableviews.2）viewsencurationecuritybycontrollingcescesces.3）

MySQLで簡単なビューを作成するにはどうすればよいですか？May 16, 2025 am 12:08 AM

to CreateAsimpleviewinmysql、usethecreateviewstatement.1）DefinetheTheTheThecreateview_nameas.2）SpecifyTheSelectStatementtatementtatementtatementtatementtatementtatementedeSireddata.3）

MySQLはユーザーステートメントの作成：例と一般的なエラーを作成しますMay 16, 2025 am 12:04 AM

tocleateusersinmysql、usethecreateuserstatement.1）foralocaluser：createUser'localuser '@' localhost'identifidedifiedifiedified 'securepassword';

MySQLでビューを使用することの限界は何ですか？May 14, 2025 am 12:10 AM

mysqlviewshavelimitations：1）supportallsqloperations、制限、dataManipulationswithjoinsorubqueries.2）それらは、特にパフォーマンス、特にパルフェクソルラージャターセット

MySQLデータベースのセキュリティ：ユーザーの追加と特権の付与May 14, 2025 am 12:09 AM

reperusermanmanagementInmysqliscialforenhancingsecurationsinginuring databaseaperation.1）usecreateusertoaddusers、指定connectionsourcewith@'localhost'or@'％ '。

MySQLで使用できるトリガーの数にどのような要因がありますか？May 14, 2025 am 12:08 AM

mysqldoes notimposeahardlimitontriggers、しかしpracticalfactorsdeTerminetheireffectiveuse：1）serverconufigurationStriggermanagement; 2）complentiggersincreaseSystemload;

See all articles