PDO가 SQL 쿼리에서 테이블 이름을 바인딩할 수 있나요?

PDO 바인딩 테이블 이름

질문:

PDO(PHP 데이터 개체)를 바인딩할 수 있나요? SQL에 대한 테이블 이름 쿼리?

답변:

아니요, PDO를 사용하여 테이블 이름을 SQL 쿼리에 바인딩하는 것은 불가능합니다.

설명 :

PDO는 준비된 문의 매개변수에 값을 바인딩하여 입력이 보장되도록 작동합니다. SQL 문 자체의 일부가 아닌 데이터로 처리됩니다. 그러나 테이블 이름은 SQL 구조의 일부로 간주되며 이를 바인딩하면 사용자가 데이터베이스 구조를 동적으로 조작할 수 있으므로 보안 위험이 있습니다.

해결책:

테이블 이름을 바인딩하는 대신 다음 대안을 고려하세요. 접근 방식:

• 화이트리스트 지정: 승인된 테이블 이름 목록을 만들고 이 목록에 대해 사용자 입력을 검증하여 무단 액세스를 방지합니다.
• 캡슐화: 내부를 통해 승인된 테이블에 대한 액세스를 제한하는 클래스 또는 라이브러리의 테이블 액세스를 캡슐화합니다. 구현.
• 매개변수화: 테이블 이름을 쿼리 매개변수에 바인딩하는 대신 함수 인수 또는 개체 메서드 인수로 전달합니다.

위 내용은 PDO가 SQL 쿼리에서 테이블 이름을 바인딩할 수 있나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!