La raison pour laquelle le nom de la table ne peut pas être lié avec les paramètres est que les paramètres de prétraitement ne peuvent être utilisés que pour l'emplacement de la valeur, et le nom de la table appartient à la partie de la structure SQL. 1. Vérification de la liste blanche: limitez la plage des noms de table facultatifs; 2. Utilisez des backticks pour envelopper les noms de table pour éviter les conflits de mots clés; 3. Noms de table de cartes à partir du programme au lieu d'utiliser directement l'entrée utilisateur; 4. Vérifiez toujours l'accès aux entrées et enregistrez l'accès à l'exception pour assurer la sécurité.
Lors de l'exécution de requêtes SQL avec des instructions de prétraitement PHP, il est généralement recommandé de passer des variables dans la forme de liaison des paramètres pour empêcher l'injection SQL. Mais si vous avez besoin de spécifier dynamiquement le nom du tableau, les choses deviennent un peu différentes.
étant donné que le mécanisme de prétraitement de l'APD ou de MySQLI ne permet pas au nom du tableau d'être lié directement en tant que paramètre, c'est-à-dire que vous ne pouvez pas écrire comme ceci:
$ stmt = $ pDo-> prépare ("select * from?");
$ stmt-> exécuter ([$ table_name]);Cela rapportera une erreur ou le nom du tableau ne peut pas être analysé correctement. Que dois-je faire? Voici quelques idées et pratiques pratiques disponibles.
Pourquoi ne pouvons-nous pas lier les noms de table avec des paramètres?
Les paramètres de prétraitement SQL ( ? Ou :name ) ne peuvent être utilisés que pour la position des valeurs , tels que les cha?nes, les nombres, les dates, etc. Le nom du tableau fait partie de la structure de l'instruction SQL, pas une "valeur".
Par exemple:
Sélectionnez * dans les utilisateurs où id =?
Ici ? est une valeur qui peut être liée en toute sécurité; Mais si vous écrivez ceci:
Sélectionner *? Où id =?
Le ? représente le nom du tableau. Si la base de données ne sait pas comment l'analyser, une erreur se produira.
Comment utiliser des noms de table variables en toute sécurité?
étant donné que vous ne pouvez pas lier directement le nom du tableau, vous ne pouvez épisser manuellement les instructions SQL. Mais pour éviter l'injection SQL, vous avez besoin de vérification ou de filtrage supplémentaire.
Les pratiques courantes sont:
- Vérification de la liste blanche: seuls certains noms de table spécifiques peuvent appara?tre.
- Utilisez des backticks pour envelopper les noms de table (utilisés dans MySQL)
- Au lieu d'utiliser les données d'origine entrées par l'utilisateur, cartographié à partir du programme
Par exemple:
$ allowing_tables = [?utilisateurs?, ?commandes?, ?produits?];
$ table_name = $ _get ['table'];
if (! in_array ($ table_name, $ allowing_tables)) {
die (?nom de table non valide?);
}
$ sql = "select * dans` $ table_name` où id =? ";
$ stmt = $ pDo-> prépare ($ sql);
$ stmt-> exécuter ([1]);La clé pour le faire est de contr?ler la source d'entrée, plut?t que d'être complètement ouverte aux utilisateurs pour remplir librement.
à quoi dois-je prêter attention dans les applications pratiques?
Dans le développement réel, bien qu'il n'y ait pas beaucoup de scénarios pour utiliser des noms de table variables, ils existent, tels que les systèmes multi-locataires, les outils de requête dynamique, les modules CMS, etc.
Quelques choses à noter:
- Ne faites pas confiance à la saisie des utilisateurs : même dans l'interface de gestion des antécédents, vérifiez-la.
- Essayez d'éviter de permettre aux utilisateurs de saisir directement les noms de table : vous pouvez utiliser des bo?tes déroulantes ou des options à la place.
- Utilisez des backticks pour envelopper les noms de table : empêchez les erreurs lorsque les noms de table sont des mots clés, tels que
orderest des mots clés MySQL. - Enregistrer les journaux et surveiller les entrées anormales : une fois l'accès illégal trouvé, interceptez-le dans le temps.
résumé
Les instructions de prétraitement de PHP ne prennent pas en charge la liaison directe des noms de table, qui est due à la conception de la syntaxe SQL. Si vous avez vraiment besoin d'utiliser des noms de table variables, vous pouvez le faire en vérifiant l'emballage des back -tick par la liste blanche tout en maintenant la sécurité.
Fondamentalement, tout cela est. Bien qu'il ait pris un tour, tant que la logique est claire, cela peut encore être fait proprement et en toute sécurité.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Quelles sont les meilleures pratiques pour verser une API basée sur PHP?
Jun 14, 2025 am 12:27 AM
Toversionaphp basé sur la performance, utilisation de la Version basée sur la croissance et la SEAFROURSE, Séparable CodééToAvoid Conclict, dépréciant les versions avec la Communication et la vision de la ConsiderCustomEnlywhencesseary.
Comment mettre en ?uvre l'authentification et l'autorisation dans PHP?
Jun 20, 2025 am 01:03 AM
ToseCurelyHandleAuthentication andAuthorizationInPhp, suivitheSesteps: 1.AlwayShashPasswordSwithPassword_Hash () etverifyusingPassword_verify (), usePreparedStatementStopReventsQLendiject, andstoreSerDatain $ _SessionAfterLogin.2
Quelles sont les différences entre les paradigmes de programmation procéduraux et orientés objet en PHP?
Jun 14, 2025 am 12:25 AM
ProcéduralandObject-OriendEdProgramming (OOP) inphpdiffersignifiancely instructure, réutilisabilité et datahandling.1.ProceduralProgrammingususFonctionnets organisé sécrégence, approprié modéliste.2.
Quelles sont les références faibles (faiblemap) en PHP, et quand pourraient-ils être utiles?
Jun 14, 2025 am 12:25 AM
PhpDoOesNothAveAbilt-InweakMapButoffersWeakreferenceForsiMarFonctionality.1.WeakReferenceallowsholdingreferences withoutpreventinggarbageCollection.2.itisationfulforcaching, les événements, et lametadatawithoutaffectingobjectlifecycles.3.
Comment pouvez-vous gérer les téléchargements de fichiers en toute sécurité dans PHP?
Jun 19, 2025 am 01:05 AM
Pour gérer en toute sécurité les téléchargements de fichiers dans PHP, le noyau consiste à vérifier les types de fichiers, à renommer les fichiers et à restreindre les autorisations. 1. Utilisez finfo_file () pour vérifier le type de mime réel, et seuls des types spécifiques tels que l'image / jpeg sont autorisés; 2. Utilisez Uniqid () pour générer des noms de fichiers aléatoires et les stocker dans le répertoire racine non Web; 3. Limiter la taille du fichier via les formulaires PHP.ini et HTML et définir les autorisations de répertoire sur 0755; 4. Utilisez Clamav pour scanner les logiciels malveillants pour améliorer la sécurité. Ces étapes empêchent efficacement les vulnérabilités de sécurité et garantissent que le processus de téléchargement de fichiers est s?r et fiable.
Quelles sont les différences entre == (comparaison lache) et === (comparaison stricte) en PHP?
Jun 19, 2025 am 01:07 AM
En PHP, la principale différence entre == et == est la rigueur de la vérification des types. == La conversion de type sera effectuée avant la comparaison, par exemple, 5 == "5" Renvoie True, et === Demande que la valeur et le type soient les mêmes avant que True sera renvoyé, par exemple, 5 === "5" Renvoie False. Dans les scénarios d'utilisation, === est plus sécurisé et doit être utilisé en premier, et == n'est utilisé que lorsque la conversion de type est requise.
Comment pouvez-vous interagir avec les bases de données NoSQL (par exemple, MongoDB, redis) de PHP?
Jun 19, 2025 am 01:07 AM
Oui, PHP peut interagir avec les bases de données NoSQL comme MongoDB et Redis à travers des extensions ou des bibliothèques spécifiques. Tout d'abord, utilisez le pilote MongoDBPHP (installé via PECL ou Composer) pour créer des instances clients et faire fonctionner des bases de données et des collections, en prenant en charge l'insertion, la requête, l'agrégation et d'autres opérations; Deuxièmement, utilisez la bibliothèque Predis ou l'extension PHPREDIS pour vous connecter à Redis, effectuer des paramètres et des acquisitions de valeur clé, et recommander PHPredis pour des scénarios à haute performance, tandis que Predis est pratique pour un déploiement rapide; Les deux conviennent aux environnements de production et sont bien documentés.
Comment effectuer des opérations arithmétiques en php (, -, *, /,%)?
Jun 19, 2025 pm 05:13 PM
Les méthodes d'utilisation des opérations mathématiques de base en PHP sont les suivantes: 1. Les signes d'addition prennent en charge les entiers et les nombres à virgule flottante, et peuvent également être utilisés pour les variables. Les numéros de cha?ne seront automatiquement convertis mais non recommandés en dépendances; 2. Les signes de soustraction utilisent - les signes, les variables sont les mêmes et la conversion de type est également applicable; 3. Les panneaux de multiplication utilisent * les panneaux, qui conviennent aux nombres et aux cha?nes similaires; 4. La division utilise / signes, qui doit éviter de diviser par zéro, et noter que le résultat peut être des nombres à virgule flottante; 5. Prendre les signes du module peut être utilisé pour juger des nombres impairs et uniformes, et lors du traitement des nombres négatifs, les signes restants sont cohérents avec le dividende. La clé pour utiliser correctement ces opérateurs est de s'assurer que les types de données sont clairs et que la situation limite est bien gérée.
