我可以在预准备语句中参数化表名吗?

时间:2012-07-03 14:09:52

标签: php mysql sql

我已多次使用mysqli_stmt_bind_param函数。但是,如果我将我试图防止SQL注入的变量分开,我会遇到错误。

以下是一些代码示例:

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

是否有可能以某种方式将.$new_table.并置替换为另一个问号语句,创建另一个绑定参数语句,或者添加到现有语句以防止SQL注入?

喜欢这个或某种形式:

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{    
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

2 个答案:

答案 0 :(得分:71)

对你的问题的简短回答是“不”。

从严格意义上讲,在数据库级别,预准备语句只允许将参数绑定到SQL语句的“值”位。

一种思考方式是“在运行时执行语句而不改变其含义的事物”。表名不是那些运行时值之一,因为它确定了SQL语句本身的有效性(即,哪些列名有效),并且在执行时更改它可能会改变SQL语句是否有效。 / p>

稍微高一点,即使在模拟预准备语句参数替换的数据库接口中,也不是实际将预准备语句发送到数据库,例如PDO,这可能允许您在任何地方使用占位符(因为占位符在之前被替换)被发送到这些系统中的数据库),表占位符的值将是一个字符串,并在发送到数据库的SQL中包含,因此SELECT * FROM ?mytable作为参数实际上是最终将SELECT * FROM 'mytable'发送到数据库,这是无效的SQL。

你最好的选择就是继续

SELECT * FROM {$mytable}

但是绝对应该有一个表格的白名单,如果$mytable来自用户输入,则会先检查这些表格。

答案 1 :(得分:1)

(最新答案,请参阅我的旁注)。

在尝试创建“数据库”时,同样的规则也适用。

您不能使用准备好的语句来绑定数据库。

即:

CREATE DATABASE IF NOT EXISTS ?

不起作用。请改用安全列表。

旁注::我添加了此答案(作为社区Wiki),因为它通常用来关闭问题,有些人在试图绑定数据库< / strong>,而不是表和/或列。