我可以将表名作为预处理语句中的参数吗？

Question

我可以将表名作为预处理语句中的参数吗？

90

我已经多次使用了mysqli_stmt_bind_param函数。然而，如果我分别处理要防止SQL注入的变量，则会遇到错误。

这里是一些代码示例：

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

是否可能通过另一个问号语句替换.$new_table.的连接方式，创建另一个绑定参数语句或添加到现有语句中以避免SQL注入？

像这样或类似于这种形式：

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{    
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}

- GK1667

6

不，参数化查询不仅仅是将参数值放入查询字符串中，而是将参数化查询和参数分别提供给关系数据库管理系统。但这样的查询不能将表名或字段名作为参数。唯一的方法是将表名动态编码到查询字符串中，就像您已经做的那样。如果此字符串可能会受到攻击，您应该首先对其进行验证；例如，对可允许表的白名单列表进行验证。 - MatBailie

使用mysqli扩展是安全的，可以放心使用！但不要忘记对所有字符串进行清理和验证...如果表名、字段名或其他任何东西威胁到您的数据库！ - devasia2112

你喜欢使用哪个特定的函数来进行数据清洗？ - GK1667

您可以使用 $mysqli->real_escape_string 函数对字符串进行清理。 - Lusitanian

2

@user1475765 在表名中使用转义函数并不能保护你免受任何攻击，建议使用白名单。 - jeroen

显示剩余6条评论

2个回答

1

当尝试创建“数据库”时，同样的规则适用。

您不能使用预处理语句来绑定数据库。

I.e.:

CREATE DATABASE IF NOT EXISTS ?

不起作用。请改用安全列表。

- Funk Forty Niner

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Sam Graham · Accepted Answer

简短的回答是“不行”。

严格来说，在数据库层面上，预处理语句只允许将参数绑定到SQL语句中的“值”位。

可以这样理解：“在运行时执行语句时可以替换的内容，而不会改变其含义”。表名不属于那些运行时的值，因为它决定了SQL语句本身的有效性（即哪些列名是有效的），在执行时更改它可能会更改SQL语句的有效性。

稍微高一级的水平，在模拟准备好的语句参数替换而不是实际发送准备好的语句到数据库的数据库接口中（例如PDO），即使可以在任何地方使用占位符（因为在这些系统中，占位符在发送到数据库之前被替换掉），表占位符的值也将是一个字符串，并在发送到数据库的SQL中作为此类字符串嵌入，因此SELECT * FROM ?和mytable作为参数最终会发送SELECT * FROM 'mytable'到数据库，这是无效的SQL语句。

你最好还是继续

SELECT * FROM {$mytable}

但是如果$mytable是来自用户输入的，你绝对应该首先有一个白名单的表进行检查。