如何在 SQL 中安全地使用動態表名來防止注入？

使用動態表名防止SQL 注入

針對防止SQL 注入的討論，有人建議使用PDO 或mysql_real_escape_string對於保護動態表名無效。然而，進一步分析揭示了這些建議在特定情況下的有效性。

mysql_real_escape_string 限制

雖然 mysql_real_escape_string 可以有效地轉義引號內的字串資料，但在處理動態資料時卻表現不佳。表名。轉義函數僅針對引號內的字符，使反引號字符保持不變。這種疏忽為攻擊者創造了一個漏洞，可以透過將結束反引號合併到其輸入中來執行 SQL 注入。

PDO 限制

與 mysql_real_escape_string 類似，PDO 不提供直接保護防止涉及動態表名的 SQL 注入。

建議方法

為了降低使用動態表名時SQL 注入的風險，強烈建議採用替代策略：

• 避免使用動態表名： 最佳方法是完全消除動態表名稱。
• 限制為有效值： 如果動態表名稱不可避免，請將它們與從 SHOW TABLES 命令中提取的預定義授權表清單進行比較。這可確保僅使用有效的表名，從而最大限度地降低惡意活動的風險。

以上是如何在 SQL 中安全地使用動態表名來防止注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！