Bagaimanakah Saya Boleh Menggunakan Nama Jadual Dinamik dengan Selamat dalam SQL untuk Mencegah Suntikan?

Mencegah Suntikan SQL dengan Nama Jadual Dinamik

Sebagai tindak balas kepada perbincangan tentang mencegah suntikan SQL, telah dicadangkan bahawa menggunakan PDO atau mysql_real_escape_string tidak berkesan untuk melindungi nama jadual dinamik. Walau bagaimanapun, analisis lanjut mendedahkan kesahihan cadangan ini dalam keadaan tertentu.

mysql_real_escape_string Limitation

Walaupun mysql_real_escape_string berkesan melepaskan diri daripada data rentetan dalam petikan, ia menjadi pendek apabila berurusan dengan dinamik nama jadual. Fungsi escape hanya menyasarkan aksara dalam petikan, meninggalkan aksara backtick tidak berubah. Pengawasan ini mewujudkan kelemahan untuk penyerang untuk melaksanakan suntikan SQL dengan memasukkan backtick penutup ke dalam input mereka.

Penghadan PDO

Begitu juga dengan mysql_real_escape_string, PDO tidak menyediakan perlindungan langsung terhadap suntikan SQL yang melibatkan jadual dinamik nama.

Pendekatan Disyorkan

Untuk mengurangkan risiko suntikan SQL apabila menggunakan nama jadual dinamik, adalah dinasihatkan untuk menggunakan strategi alternatif:

• Elakkan menggunakan nama jadual dinamik: Pendekatan optimum ialah menghapuskan nama jadual dinamik sama sekali.
• Hadkan kepada nilai yang sah: Jika nama jadual dinamik tidak dapat dielakkan, bandingkannya dengan senarai pratakrif jadual dibenarkan yang diekstrak daripada arahan SHOW TABLES. Ini memastikan bahawa hanya nama jadual yang sah digunakan, meminimumkan risiko aktiviti berniat jahat.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan Nama Jadual Dinamik dengan Selamat dalam SQL untuk Mencegah Suntikan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!