为什么我不能将表名传递给准备好的PDO语句?
$stmt = $dbh->prepare('SELECT * FROM :table WHERE 1');
if ($stmt->execute(array(':table' => 'users'))) {
var_dump($stmt->fetchAll());
}
是否有另一种安全的方法将表名插入SQL查询?安全我的意思是我不想这样做
$sql = "SELECT * FROM $table WHERE 1"
Noa*_*ich 206
表和列名称不能由PDO中的参数替换.
在这种情况下,您只需手动过滤和清理数据.一种方法是将速记参数传递给将动态执行查询的函数,然后使用switch()语句创建用于表名或列名的有效值的白名单.这样,用户输入就不会直接进入查询.例如:
function buildQuery( $get_var )
{
switch($get_var)
{
case 1:
$tbl = 'users';
break;
}
$sql = "SELECT * FROM $tbl";
}
通过不保留默认情况或使用返回错误消息的默认情况,您可以确保仅使用您想要使用的值.
IMS*_*SoP 136
要理解为什么绑定表(或列)名称不起作用,您必须了解预处理语句中的占位符如何工作:它们不是简单地替换为(适当转义的)字符串,而是执行生成的SQL.相反,DBMS要求"准备"一个语句,它会提供一个完整的查询计划,说明它将如何执行该查询,包括它将使用哪些表和索引,无论您如何填充占位符,这些表和索引都是相同的.
SELECT name FROM my_table WHERE id = :value无论你替换什么,计划都是一样的:value,但看似相似SELECT name FROM :table WHERE id = :value无法计划,因为DBMS不知道你实际上要从哪个表中选择.
这不是PDO之类的抽象库可以或应该解决的问题,因为它会破坏预准备语句的两个关键目的:1)允许数据库提前决定如何运行查询,并使用相同的方法计划多次; 2)通过将查询逻辑与变量输入分开来防止安全问题.
Don*_*Don 13
我看到这是一个旧帖子,但我发现它很有用,并且我认为我会分享一个类似于@kzqai建议的解决方案:
我有一个函数接收两个参数,如...
function getTableInfo($inTableName, $inColumnName) {
....
}
在内部我检查我设置的数组,以确保只有"祝福"表的表和列可访问:
$allowed_tables_array = array('tblTheTable');
$allowed_columns_array['tblTheTable'] = array('the_col_to_check');
然后在运行PDO之前的PHP检查看起来像......
if(in_array($inTableName, $allowed_tables_array) && in_array($inColumnName,$allowed_columns_array[$inTableName]))
{
$sql = "SELECT $inColumnName AS columnInfo
FROM $inTableName";
$stmt = $pdo->prepare($sql);
$stmt->execute();
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
}
使用前者本质上并不比后者更安全,您需要清理输入,无论它是参数数组的一部分还是简单变量。因此,我认为使用后一种形式与 没有任何问题$table,只要您在使用它之前确保 的内容$table是安全的(字母加下划线?)。
(迟到的答案,请参阅我的旁注)。
尝试创建“数据库”时也适用相同的规则。
您不能使用准备好的语句来绑定数据库。
IE:
CREATE DATABASE IF NOT EXISTS :database
不管用。请改用安全列表。
旁注:我添加了这个答案(作为社区维基),因为它经常用于结束问题,其中有些人在尝试绑定数据库而不是表和/或列时发布了与此类似的问题。