是否可以在预准备语句中参数化表名？

php mysql sql

2022-08-30 08:14:06

我已经多次使用mysqli_stmt_bind_param函数。但是，如果我分离我试图防止SQL注入的变量，我会遇到错误。

下面是一些代码示例：

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

是否可以以某种方式将串联替换为另一个问号语句，创建另一个绑定参数语句，或者添加到现有语句以防止SQL注入？.$new_table.

像这样或某种形式的：

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{    
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

答案 1

对您的问题的简短回答是“否”。

从最严格的意义上讲，在数据库级别，预准备语句只允许将参数绑定到 SQL 语句的“值”位。

一种思考方式是“可以在运行时执行语句而不改变其含义的情况下替换的东西”。表名不是这些运行时值之一，因为它决定了SQL语句本身的有效性（即，哪些列名是有效的），并且在执行时更改它可能会改变SQL语句是否有效。

在稍微高一点的级别上，即使在模拟预准备语句参数替换而不是实际将预准备语句发送到数据库的数据库接口中，例如PDO，可以想象，这可以允许您在任何地方使用占位符（因为占位符在发送到这些系统中的数据库之前被替换），表占位符的值将是一个字符串，并作为这样的封闭在发送到数据库的SQL中，因此与参数实际上最终会发送到数据库，这是无效的SQL。SELECT * FROM ?mytableSELECT * FROM 'mytable'

你最好的选择就是继续

SELECT * FROM {$mytable}

但是您绝对应该有一个表的白名单，如果该表来自用户输入，请首先检查该表。$mytable

答案 2

尝试创建“数据库”时，也适用相同的规则。

不能使用预准备语句绑定数据库。

即：

CREATE DATABASE IF NOT EXISTS ?

将不起作用。请改用安全列表。