준비된 문에서 테이블 이름을 매개변수로 사용할 수 없는 이유는 무엇입니까?

준비된 명령문에서 테이블 이름을 매개변수화할 수 없습니다

SQL 주입으로부터 보호하기 위해 변수를 분리하려는 초기 시도에도 불구하고 다음과 같은 문제가 발생했습니다. 오류. 문제는 테이블 이름을 매개변수로 포함시키려고 했기 때문에 발생합니다.

Prepared 문에서 매개변수화는 SQL 문 내의 값으로 제한됩니다. 문의 유효성과 컬럼 이름을 결정하는 테이블 이름은 동적으로 대체될 수 없습니다.

Prepared 문을 시뮬레이션하는 PDO와 같은 인터페이스에서도 테이블 이름을 따옴표 안에 문자열로 대체하면 잘못된 SQL 구문이 발생합니다.

삽입 취약성을 방지하려면 화이트리스트에 포함된 허용 가능한 테이블 이름 세트를 유지하고 이에 대해 $mytable의 유효성을 검사하는 것이 가장 좋습니다. $mytable의 유효성이 보장된다면 "SELECT * FROM {$mytable}"과 같은 코드는 여전히 실행 가능한 옵션입니다.

위 내용은 준비된 문에서 테이블 이름을 매개변수로 사용할 수 없는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!