준비된 문: 매개변수화된 테이블 이름을 처리할 수 있나요?
이 문서에서는 SQL 삽입 취약점을 방지하기 위해 준비된 문이 매개변수화된 테이블 이름을 효과적으로 처리할 수 있는지 여부에 대한 중요한 질문을 다룹니다.
문제:
테이블 이름을 포함하여 사용자 제공 데이터를 SQL 쿼리에 직접 포함하는 것은 주요 보안 위험입니다. 다음 예를 고려해보세요:
function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
$statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
$statement->execute();
}
연결 .$new_table.은 $new_table이 제대로 정리되지 않은 경우 이 함수를 SQL 주입에 취약하게 만듭니다.
매개변수화 시도 중:
이 문제를 완화하기 위한 일반적인 시도는 테이블 이름을 매개변수화하는 것입니다.
function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
$statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
$statement->execute();
}
현실:
안타깝게도 이 접근 방식은 실패합니다. 준비된 문은 SQL 쿼리 자체의 구조 변경을 방지하는 것이 아니라 런타임 값 삽입을 방지하도록 설계되었습니다. 데이터베이스 파서는 테이블 이름을 런타임 매개변수가 아닌 쿼리 구조의 일부로 해석합니다. 이를 자리 표시자로 바꾸면 잘못된 SQL이 발생합니다.
PDO와 같이 준비된 명령문 에뮬레이션을 제공하는 시스템에서도 결과는 잘못된 쿼리가 됩니다(예: SELECT * FROM 'mytable' 대신 SELECT * FROM mytable).
해결책:
사용자가 제공한 테이블 이름을 처리할 때 SQL 주입을 방지하는 신뢰할 수 있는 유일한 방법은 엄격한 화이트리스트를 사용하는 것입니다. 여기에는 허용되는 테이블 이름 목록을 사전 정의하고 사용자가 제공한 테이블 이름이 쿼리에 사용되기 전에 이 화이트리스트와 대조되는지 확인하는 작업이 포함됩니다. 테이블 이름과 관련된 SQL 쿼리를 생성하기 위해 사용자 입력을 직접 사용하지 마십시오.
위 내용은 SQL 주입을 방지하기 위해 준비된 명령문이 매개변수화된 테이블 이름을 처리할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
Docker에서 MySQL 메모리 사용을 줄입니다Mar 04, 2025 pm 03:52 PM이 기사는 Docker에서 MySQL 메모리 사용을 최적화합니다. 모니터링 기술 (Docker Stats, Performance Schema, 외부 도구) 및 구성 전략에 대해 설명합니다. 여기에는 Docker 메모리 제한, 스와핑 및 CGroups와 함께 포함됩니다
MySQL의 문제를 해결하는 방법 공유 라이브러리를 열 수 없습니다.Mar 04, 2025 pm 04:01 PM이 기사에서는 MySQL의 "공유 라이브러리를 열 수 없음"오류를 다룹니다. 이 문제는 MySQL이 필요한 공유 라이브러리 (.so/.dll 파일)를 찾을 수 없음에서 비롯됩니다. 솔루션은 시스템 패키지 M을 통한 라이브러리 설치 확인과 관련이 있습니다.
Alter Table 문을 사용하여 MySQL에서 테이블을 어떻게 변경합니까?Mar 19, 2025 pm 03:51 PM이 기사는 MySQL의 Alter Table 문을 사용하여 열 추가/드롭 테이블/열 변경 및 열 데이터 유형 변경을 포함하여 테이블을 수정하는 것에 대해 설명합니다.
Linux에서 MySQL을 실행합니다 (Phpmyadmin이있는 Podman 컨테이너가 포함되지 않음)Mar 04, 2025 pm 03:54 PM이 기사는 Linux에 MySQL을 직접 설치하는 것과 Phpmyadmin이없는 Podman 컨테이너 사용을 비교합니다. 각 방법에 대한 설치 단계에 대해 자세히 설명하면서 Podman의 격리, 이식성 및 재현성의 장점을 강조하지만 또한
sqlite 란 무엇입니까? 포괄적 인 개요Mar 04, 2025 pm 03:55 PM이 기사는 자체 포함 된 서버리스 관계형 데이터베이스 인 SQLITE에 대한 포괄적 인 개요를 제공합니다. SQLITE의 장점 (단순성, 이식성, 사용 용이성) 및 단점 (동시성 제한, 확장 성 문제)에 대해 자세히 설명합니다. 기음
MacOS에서 여러 MySQL 버전을 실행 : 단계별 가이드Mar 04, 2025 pm 03:49 PM이 안내서는 Homebrew를 사용하여 MacOS에 여러 MySQL 버전을 설치하고 관리하는 것을 보여줍니다. 홈 브루를 사용하여 설치를 분리하여 갈등을 방지하는 것을 강조합니다. 이 기사에는 설치, 서비스 시작/정지 서비스 및 Best Pra에 대해 자세히 설명합니다
MySQL 연결에 대한 SSL/TLS 암호화를 어떻게 구성합니까?Mar 18, 2025 pm 12:01 PM기사는 인증서 생성 및 확인을 포함하여 MySQL에 대한 SSL/TLS 암호화 구성에 대해 설명합니다. 주요 문제는 자체 서명 인증서의 보안 영향을 사용하는 것입니다. [문자 수 : 159]
인기있는 MySQL GUI 도구는 무엇입니까 (예 : MySQL Workbench, Phpmyadmin)?Mar 21, 2025 pm 06:28 PM기사는 MySQL Workbench 및 Phpmyadmin과 같은 인기있는 MySQL GUI 도구에 대해 논의하여 초보자 및 고급 사용자를위한 기능과 적합성을 비교합니다. [159 자].
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
안전한 시험 브라우저
안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.
SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
