SQL 주입을 방지하기 위해 준비된 명령문이 매개변수화된 테이블 이름을 처리할 수 있습니까?-MySQL 튜토리얼-php.cn

집

데이터 베이스

MySQL 튜토리얼

SQL 주입을 방지하기 위해 준비된 명령문이 매개변수화된 테이블 이름을 처리할 수 있습니까?

DDD

Jan 23, 2025 pm 05:56 PM

Can Prepared Statements Handle Parameterized Table Names to Prevent SQL Injection?

준비된 문: 매개변수화된 테이블 이름을 처리할 수 있나요?

이 문서에서는 SQL 삽입 취약점을 방지하기 위해 준비된 문이 매개변수화된 테이블 이름을 효과적으로 처리할 수 있는지 여부에 대한 중요한 질문을 다룹니다.

문제:

테이블 이름을 포함하여 사용자 제공 데이터를 SQL 쿼리에 직접 포함하는 것은 주요 보안 위험입니다. 다음 예를 고려해보세요:

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

연결 .$new_table.은 $new_table이 제대로 정리되지 않은 경우 이 함수를 SQL 주입에 취약하게 만듭니다.

매개변수화 시도 중:

이 문제를 완화하기 위한 일반적인 시도는 테이블 이름을 매개변수화하는 것입니다.

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

현실:

안타깝게도 이 접근 방식은 실패합니다. 준비된 문은 SQL 쿼리 자체의 구조 변경을 방지하는 것이 아니라 런타임 값 삽입을 방지하도록 설계되었습니다. 데이터베이스 파서는 테이블 이름을 런타임 매개변수가 아닌 쿼리 구조의 일부로 해석합니다. 이를 자리 표시자로 바꾸면 잘못된 SQL이 발생합니다.

PDO와 같이 준비된 명령문 에뮬레이션을 제공하는 시스템에서도 결과는 잘못된 쿼리가 됩니다(예: SELECT * FROM 'mytable' 대신 SELECT * FROM mytable).

해결책:

사용자가 제공한 테이블 이름을 처리할 때 SQL 주입을 방지하는 신뢰할 수 있는 유일한 방법은 엄격한 화이트리스트를 사용하는 것입니다. 여기에는 허용되는 테이블 이름 목록을 사전 정의하고 사용자가 제공한 테이블 이름이 쿼리에 사용되기 전에 이 화이트리스트와 대조되는지 확인하는 작업이 포함됩니다. 테이블 이름과 관련된 SQL 쿼리를 생성하기 위해 사용자 입력을 직접 사용하지 마십시오.

위 내용은 SQL 주입을 방지하기 위해 준비된 명령문이 매개변수화된 테이블 이름을 처리할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

MySQL에서 기존보기를 삭제하거나 수정하려면 어떻게해야합니까?May 16, 2025 am 12:11 AM

todropaViewInmysql, "dropviewifexistsview_name;"및 TomodifyAview를 사용하고 "createOrreplaceViewView_NameAsselect ...". "

MySQL보기 : 어떤 디자인 패턴을 사용할 수 있습니까?May 16, 2025 am 12:10 AM

mysqlViewScaneFeficTicallyINGILIDESIGNPATTORNSLIKEADAPTER, DECIARATOR, FACTORY 및 OBSERVER.1) AdapterPatternAdAptSDataFromDifferentTablesinToAunifiedView.2) Decor

MySQL에서 뷰를 사용하면 어떤 장점이 있습니까?May 16, 2025 am 12:09 AM

viewsinmysqlarebeneficialforsimplifyingcomplexqueries, envancingsecurity, dataconsistency, andoptimizing promperformance

MySQL에서 간단한보기를 어떻게 만들 수 있습니까?May 16, 2025 am 12:08 AM

toeteimpleviewinmysql, usethecreateviewstatement.1) definetheviewwithReateViewview_nameas.2) specifyTesLectStatementToreTrievesiredData.3) usetheViewLikeAtableForqueries.ViewsSimplifyDataAccessAndenHances, ButconSiderFormance

MySQL 사용자 명령문 생성 : 예제 및 공통 오류May 16, 2025 am 12:04 AM

toCreateUserSinmysql, usethecreateuserstatement.1) foralocaluser : createUser'LocalUser '@'localHost'IndifiedBy'SecurePassword '; 2) foremoteUser : createUser'RemoteUser'@'%'reidentifiedBy'StrongPassword ';

MySQL에서 뷰를 사용하는 한계는 무엇입니까?May 14, 2025 am 12:10 AM

mysqlviewshavelimitations : 1) 그들은 upportallsqloperations, datamanipulation throughviewswithjoinsorbqueries를 제한하지 않습니다

MySQL 데이터베이스 확보 : 사용자 추가 및 권한 부여May 14, 2025 am 12:09 AM

적절한 usermanagementInmysqliscrucialforenhancingsecurityandensuringfefficientDatabaseOperation.1) USECREATEUSERTOWDDUSERS,@'localHost'or@'%'.

MySQL에서 사용할 수있는 트리거 수에 영향을 미치는 요인은 무엇입니까?May 14, 2025 am 12:08 AM

mysqldoes notimposeahardlimitontriggers, butpracticalfactorsdeteirefectiveuse : 1) ServerConfigurationimpactStriggerManagement; 2) 복잡한 트리거 스케일 스케일 사이드로드; 3) argertableSlowtriggerTriggerPerformance; 4) High ConconcercencyCancaUspriggerContention; 5) m

See all articles