是否可以在準備語句中對錶名進行參數化以防止 SQL 注入?
- DDD原創
- 2024-12-27 08:35:14324瀏覽
在準備好的語句中參數化表名:可能嗎?
嘗試在準備好的語句中參數化表名通常會導致 SQL 注入漏洞。雖然 mysqli_stmt_bind_param 函數允許將參數綁定到值,但它不支援參數化表名稱。
例如,以下程式碼片段示範了參數化表名稱的嘗試:
function insertRow($db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol) {
$statement = $mysqli->prepare("INSERT INTO ? VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param($statement, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol));
$statement->execute();
}
但是,這種方法是不正確的,並且在執行時會導致無效的查詢。準備好的語句旨在將參數綁定到特定值,表名不被視為可參數化的值。
相反,建議將靜態表名與允許值白名單結合使用,以防止SQL注入。例如:
function insertRow($db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol) {
if (!in_array($new_table, $allowed_tables)) {
throw new Exception("Invalid table name");
}
$statement = $mysqli->prepare("INSERT INTO $new_table VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param($statement, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol);
$statement->execute();
}
此方法可確保僅使用有效的表名,從而減輕與動態表名變更相關的 SQL 注入風險。
以上是是否可以在準備語句中對錶名進行參數化以防止 SQL 注入?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
上一篇:如何在 PHP 中展平多維數組?下一篇:如何在 PHP 中展平多維數組?