我可以在准备好的语句中参数化表名吗?

我多次使用mysqli_stmt_bind_param函数。 但是,如果我分离variables,我试图防止SQL注入我遇到了错误。

以下是一些代码示例:

function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ) { $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);"); mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ); $statement->execute(); } 

是否有可能以某种方式取代.$new_table. 与另一个问号语句串联,制作另一个绑定参数语句,或添加到现有的一个,以防止SQL注入?

像这样或这样的某种forms:

 function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ) { $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);"); mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol ); $statement->execute(); } 

简短的回答你的问题是“不”。

从最严格的意义上讲,在数据库级别,预准备语句只允许将参数绑定到SQL语句的“值”位。

一种思考的方式是“在运行时执行语句时可以替代的东西,而不会改变其含义”。 表名不是这些运行时值之一,因为它决定了SQL语句本身的有效性(即哪些列名是有效的),并且在执行时更改它可能会改变SQL语句是否有效。

即使在模拟预备语句参数replace的数据库接口中,而不是实际发送准备好的语句到数据库,比如PDO,这可能会让你在任何地方使用占位符(即,占位符在被发送之前被replace在这些系统中的数据库),表占位符的值将是一个string,并且在发送到数据库的SQL中包含,所以SELECT * FROM ?mytable作为参数实际上最终会发送SELECT * FROM 'mytable'到数据库,这是无效的SQL。

你最好的select就是继续

 SELECT * FROM {$mytable} 

但是如果$mytable来自用户input,则绝对应该有一个首先检查的表格的白名单。

毕竟我得到完美的答案。 如何dynamic地在准备语句中编写表名。 所有的诡计都发生在“{}”上。 你必须在这个“{}”中使用你的variables。 它在我的代码中工作。

 $tablename = "run_time_variable"; $stmt = $conn->prepare("INSERT INTO `{$tablename}` (name, address, phone ) VALUES (?,?,?)"); $stmt->bind_param("sss", $name, $address, $phone ); $stmt->execute();