我已多次使用mysqli_stmt_bind_param函数.但是,如果我将我试图防止SQL注入的变量分开,我会遇到错误.
这是一些代码示例:
function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
$statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
$statement->execute();
}
是否有可能以某种方式.$new_table.用另一个问号语句替换连接,创建另一个绑定参数语句,或添加到现有的语句以防止SQL注入?
像这样或某种形式:
function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
$statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
$statement->execute();
}
Sam*_*ham 76
对你的问题的简短回答是"不".
从严格意义上讲,在数据库级别,预准备语句只允许将参数绑定到SQL语句的"值"位.
考虑这一点的一种方法是"在运行时执行语句而不改变其含义的事物".表名不是那些运行时值之一,因为它确定SQL语句本身的有效性(即,哪些列名有效)并在执行时更改它可能会改变SQL语句是否有效.
稍微高一点,即使在数据库接口中模拟准备好的语句参数替换而不是实际将准备好的语句发送到数据库,例如PDO,这可能允许您在任何地方使用占位符(因为占位符在被发送到之前被替换)在这些系统上的数据库),该表占位符的值是一个字符串,并将其发送到数据库的SQL内封入作为这样,所以SELECT * FROM ?与mytable作为PARAM将实际上最终发送SELECT * FROM 'mytable'到数据库中,这是无效的SQL.
你最好的选择就是继续
SELECT * FROM {$mytable}
但是你绝对应该有一个表格的白名单,如果它$mytable来自用户输入,你首先检查它们.
| 归档时间: |
|
| 查看次数: |
27367 次 |
| 最近记录: |