要理解为什么绑定表(或列)名不起作用,您必须理解prepared语句中的占位符是如何工作的:它们不是简单地用as(适当地转义)字符串替换,而是执行结果sql。相反,被要求“准备”语句的dbms会给出一个完整的查询计划,说明它将如何执行该查询,包括它将使用哪些表和索引,这些表和索引将是相同的,无论您如何填充占位符。 计划 SELECT name FROM my_table WHERE id = :value 无论你用什么替代,都是一样的 :value ,但是看起来很相似 SELECT name FROM :table WHERE id = :value 无法计划,因为dbms不知道实际要从哪个表中选择。 这也不是像pdo这样的抽象库可以或应该解决的问题,因为它会破坏prepared语句的两个关键目的:1)允许数据库提前决定如何运行查询,并多次使用同一个计划;以及2)通过将查询逻辑与变量输入分离来防止安全问题。
class myPdo{
private $user = 'dbuser';
private $pass = 'dbpass';
private $host = 'dbhost';
private $db = 'dbname';
private $pdo;
private $dbInfo;
public function __construct($type){
$this->pdo = new PDO('mysql:host='.$this->host.';dbname='.$this->db.';charset=utf8',$this->user,$this->pass);
if(isset($type)){
//when class is called upon, it stores column names and column types from the table of you choice in $this->dbInfo;
$stmt = "select distinct column_name,column_type from information_schema.columns where table_name='sometable';";
$stmt = $this->pdo->prepare($stmt);//not really necessary since this stmt doesn't contain any dynamic values;
$stmt->execute();
$this->dbInfo = $stmt->fetchAll(PDO::FETCH_ASSOC);
}
}
public function pdo_param($col){
$param_type = PDO::PARAM_STR;
foreach($this->dbInfo as $k => $arr){
if($arr['column_name'] == $col){
if(strstr($arr['column_type'],'int')){
$param_type = PDO::PARAM_INT;
break;
}
}
}//for testing purposes i only used INT and VARCHAR column types. Adjust to your needs...
return $param_type;
}
public function columnIsAllowed($col){
$colisAllowed = false;
foreach($this->dbInfo as $k => $arr){
if($arr['column_name'] === $col){
$colisAllowed = true;
break;
}
}
return $colisAllowed;
}
public function q($data){
//$data is received by post as a JSON object and looks like this
//{"data":{"column_a":"value","column_b":"value","column_c":"value"},"get":"column_x"}
$data = json_decode($data,TRUE);
$continue = true;
foreach($data['data'] as $column_name => $value){
if(!$this->columnIsAllowed($column_name)){
$continue = false;
//means that someone possibly messed with the post and tried to get data from a column that does not exist in the current table, or the column name is a sql injection string and so on...
break;
}
}
//since $data['get'] is also a column, check if its allowed as well
if(isset($data['get']) && !$this->columnIsAllowed($data['get'])){
$continue = false;
}
if(!$continue){
exit('possible injection attempt');
}
//continue with the rest of the func, as you normally would
$stmt = "SELECT DISTINCT ".$data['get']." from sometable WHERE ";
foreach($data['data'] as $k => $v){
$stmt .= $k.' LIKE :'.$k.'_val AND ';
}
$stmt = substr($stmt,0,-5)." order by ".$data['get'];
//$stmt should look like this
//SELECT DISTINCT column_x from sometable WHERE column_a LIKE :column_a_val AND column_b LIKE :column_b_val AND column_c LIKE :column_c_val order by column_x
$stmt = $this->pdo->prepare($stmt);
//obviously now i have to bindValue()
foreach($data['data'] as $k => $v){
$stmt->bindValue(':'.$k.'_val','%'.$v.'%',$this->pdo_param($k));
//setting PDO::PARAM... type based on column_type from $this->dbInfo
}
$stmt->execute();
return $stmt->fetchAll(PDO::FETCH_ASSOC);//or whatever
}
}
$pdo = new myPdo('anything');//anything so that isset() evaluates to TRUE.
var_dump($pdo->q($some_json_object_as_described_above));
7条答案
按热度按时间ar5n3qh51#
pdo中的参数不能替换表名和列名。
在这种情况下,您只需要手动过滤和清理数据。一种方法是将速记参数传递给将动态执行查询的函数,然后使用
switch()
语句创建用于表名或列名的有效值的白名单。这样就不会有用户输入直接进入查询。例如:通过不保留任何默认大小写或使用返回错误消息的默认大小写,可以确保只使用希望使用的值。
4bbkushb2#
要理解为什么绑定表(或列)名不起作用,您必须理解prepared语句中的占位符是如何工作的:它们不是简单地用as(适当地转义)字符串替换,而是执行结果sql。相反,被要求“准备”语句的dbms会给出一个完整的查询计划,说明它将如何执行该查询,包括它将使用哪些表和索引,这些表和索引将是相同的,无论您如何填充占位符。
计划
SELECT name FROM my_table WHERE id = :value
无论你用什么替代,都是一样的:value
,但是看起来很相似SELECT name FROM :table WHERE id = :value
无法计划,因为dbms不知道实际要从哪个表中选择。这也不是像pdo这样的抽象库可以或应该解决的问题,因为它会破坏prepared语句的两个关键目的:1)允许数据库提前决定如何运行查询,并多次使用同一个计划;以及2)通过将查询逻辑与变量输入分离来防止安全问题。
lrl1mhuk3#
我看到这是一个老帖子,但我发现它很有用,我想我应该分享一个类似@kzqai建议的解决方案:
我有一个函数,它接收两个参数,比如。。。
在内部,我检查已设置的数组,以确保只有带有“祝福”表的表和列是可访问的:
然后运行pdo之前的php检查看起来像。。。
qyyhg6bp4#
使用前者并不比后者本身更安全,您需要清理输入,无论它是参数数组的一部分还是简单变量。所以我认为用后一种形式
$table
,前提是您确保$table
是安全的(alphanum加下划线?)。0lvr5msh5#
(迟回答,请参阅我的旁注)。
在尝试创建“数据库”时,同样的规则也适用。
不能使用prepared语句绑定数据库。
即。:
不起作用。改用安全列表。
旁注:我添加了这个答案(作为一个社区wiki),因为它经常用来结束问题,有些人在试图绑定数据库而不是表和/或列时发布了类似的问题。
wnavrhmk6#
我想知道你是否可以提供你自己的自定义消毒功能,就像这样简单:
我还没想清楚,但好像去掉字符和下划线以外的任何东西都可以。
fxnxkyjh7#
至于此线程中的主要问题,其他帖子清楚地说明了为什么在准备语句时不能将值绑定到列名,因此这里有一个解决方案:
上面只是一个例子,所以不用说,copy->paste不起作用。根据你的需要调整。现在,这可能无法提供100%的安全性,但它允许在列名作为动态字符串“传入”时对其进行一些控制,并且可以在用户端进行更改。此外,不需要用表列名和类型构建一些数组,因为它们是从信息模式中提取的。