我可以在准备好的语句中参数化表名吗?
我已经多次使用mysqli_stmt_bind_param函数。但是,如果我分开试图防止SQL注入的变量,则会遇到错误。
这是一些代码示例:
function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
$statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
$statement->execute();
}
是否有可能以某种方式.$new_table.用另一个问号语句替换串联,制作另一个绑定参数语句或添加到现有的语句中以防止SQL注入?
像这样或某种形式:
function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
$statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
$statement->execute();
}
问题答案:
对您的问题的简短回答是“否”。
从最严格的意义上讲,在数据库级别,准备好的语句仅允许将参数绑定到SQL语句的“值”位。
一种思考的方式是“可以在语句的运行时执行而不替换其含义的事物”。表名不是这些运行时值之一,因为它确定SQL语句本身的有效性(即,哪些列名有效),并且在执行时对其进行更改将有可能更改SQL语句是否有效。
在更高的级别上,即使在模拟准备好的语句参数替换而不是实际将准备好的语句发送到数据库的数据库接口(例如PDO)中,也可以想象到,这可以允许您在任何地方使用占位符(因为占位符在发送到在这些系统上的数据库),该表占位符的值是一个字符串,并将其发送到数据库的SQL内封入作为这样,所以SELECT * FROM ?与mytable作为PARAM将实际上最终发送SELECT * FROM 'mytable'到数据库中,这是无效的SQL。
您最好的选择就是继续
SELECT * FROM {$mytable}
但是 绝对 应该有一个白名单的表,如果该表$mytable来自用户输入,则应首先对其进行检查。
-
问题内容: 我在玩PHP / PDO中准备好的语句。基本查询工作正常,将值传递给WHERE子句: 但是我有一种情况,我需要为字段名称传递变量。此查询(具有适当的绑定)可以正常工作: 这给出了一个错误: 这个不会给出错误,但是不会返回任何行: 那么,哪些事情应该在准备好的语句中起作用?我可以“参数化”字段名称,表名称等吗? 问题答案: 表名和列名不能用PDO中的参数替换。 在这种情况下,您只需要手动
-
问题内容: 我正在自定义由hibernate生成的插入SQL,并遇到了问题。当Hibernate自己生成查询时,它将数据插入表的前两列,但这会导致数据库错误,因为表的所有四列都是不可为空的。为了正确执行插入,它必须将相同的数据插入到新记录的两列中。这意味着我需要Hibernate将相同的数据绑定到我正在编写的查询(准备好的语句)中的两个不同的参数上。 是否有一些SQL语法可让我以与绑定到绑定语句不
-
使用GoSQL库,我们可以使用以下参数创建SELECT、INSERT、UPDATE和DELETE语句: 我想从用户提供的描述表结构的输入中创建表,用户将被要求输入表的名称以及他们想要创建的每个列的名称和类型。但是,在查询接口中构建CREATE语句通过将字符串连接在一起创建CREATE语句是可行的,但这是一种等待发生的SQL注入攻击。 有没有一种方法可以使用Go SQL库参数化CREATE语句?
-
问题内容: 我正在编写一些SQL,并使用AdoDb连接到我的数据库并运行查询等等。我正在使用参数化查询,并且遇到了麻烦。 它们是将值的数组传递给AdoDb / MySql中的in_clause进行参数化的一种方法。 我的问题是,如果我将准备好的字符串作为参数传递,即 ‘test’,’test2’,’test3’, 则它不起作用,因为库或数据库会自动对其进行转义并在开头和结尾处添加外部引号,因此所有
-
问题内容: 我有一个名字列表,例如: 并声明: 如何执行以下操作: 有解决方法吗?有人可以解释为什么缺少这种方法吗? 使用:java,postgresql,jdbc3 问题答案: 没有干净的方法仅通过在我所知道的列表上设置列表来执行此操作。 编写代码,以适当数量的问号(与列表中的数字相同)构造SQL语句(或更好地替换单个?或类似的标记),然后遍历列表为每个参数设置参数。
-
问题内容: 我正在尝试使用准备好的语句来设置表名称以从中选择数据,但是在执行查询时,我总是收到错误消息。 错误和示例代码如下所示。 有什么想法可能会导致这种情况? 问题答案: 表名不能用作参数。它必须是硬编码的。因此,您可以执行以下操作: