Получить таблицу с подготовленным оператором, используя пользовательский ввод

Question

Получить таблицу с подготовленным оператором, используя пользовательский ввод

0

Я пытался использовать подготовленные заявления, но он всегда бросает мне синтаксическую ошибку SQL в строке 1. Моя цель - сделать это максимально безопасным. Приложенный код работает.

Значение GET форматируется как строка (например: nmcxxwakfe) и первоначально динамически генерируется, поэтому нет возможности разрешать только определенные значения.

try {
$db = new PDO("mysql:dbname=somedb;host=localhost", "person", "mysupersecretpw" );

$db->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );//Error Handling

$sql = "SELECT * FROM $value";
$result = $db->prepare($sql);
$result->execute();
$daten = $result->fetchAll();
} catch(PDOException $e) {
echo $e->getMessage();//Remove or change message in production code
}

Спасибо за помощь!

Landstalker 17 фев. 2018, в 08:58

Источник

0

Что такое $value ? Если это несуществующая переменная или пустая, то вы отправляете DB SELECT * FROM , что действительно синтаксически неверно. Посмотрите, что содержит $sql (например, с echo ) перед отправкой в $db->prepare() .
hunteke 17 фев. 2018, в 07:28
0

if (isset ($ _ GET ['id'])) {$ value = $ _GET ['id']; } Мой оригинальный код работает, но это небезопасная реализация, и я хочу сделать его более безопасным.
Landstalker 17 фев. 2018, в 07:31
0

почему намереваетесь сделать имя таблицы динамическим? Это рискованно, особенно если учесть, что его получают по URL
Akintunde-Rotimi 17 фев. 2018, в 07:31
0

@Akintunde007 Akintunde007 Я нахожусь в курсе того, куда вы идете, но, учитывая суть вопросов и базы знаний Landstalker, я предлагаю сначала найти рабочее решение. Мы можем иметь дело с безопасностью во-вторых, здесь.
hunteke 17 фев. 2018, в 07:32
0

Да, я пишу скрипт опроса, и он выбирает соответствующий опрос из базы данных.
Landstalker 17 фев. 2018, в 07:33
0

безопасность должна быть вашим главным приоритетом. Речь идет не о включении небезопасных и устаревших функций в ваше приложение. Любой может легко стереть вашу базу данных с помощью кода, который у вас есть
Akintunde-Rotimi 17 фев. 2018, в 07:34
0

@hunteke: Умм, код работает.
Landstalker 17 фев. 2018, в 07:34
0

Prepare нельзя использовать для замены таких элементов, как таблицы или имена столбцов. Вы должны проверить / экранировать содержимое $ value вручную (если вам действительно нужны динамические имена таблиц).
Solarflare 17 фев. 2018, в 07:35
0

@Landstalker Landstalker? Я неправильно понял ваш вопрос? Я думал, что проблема была в том, что MySQL давал вам синтаксическую ошибку? Опять же, что - точно - значение $sql перед вызовом prepare() ?
hunteke 17 фев. 2018, в 07:35
0

Моя цель - сделать это как можно более безопасным. Добавленный код работает.
Landstalker 17 фев. 2018, в 07:37

Показать ещё 8 комментариев

Теги:

php

mysql

input

pdo

1 ответ

Ещё вопросы

Что такое $value ? Если это несуществующая переменная или пустая, то вы отправляете DB SELECT * FROM , что действительно синтаксически неверно. Посмотрите, что содержит $sql (например, с echo ) перед отправкой в $db->prepare() .
if (isset ($ _ GET ['id'])) {$ value = $ _GET ['id']; } Мой оригинальный код работает, но это небезопасная реализация, и я хочу сделать его более безопасным.
почему намереваетесь сделать имя таблицы динамическим? Это рискованно, особенно если учесть, что его получают по URL
@Akintunde007 Akintunde007 Я нахожусь в курсе того, куда вы идете, но, учитывая суть вопросов и базы знаний Landstalker, я предлагаю сначала найти рабочее решение. Мы можем иметь дело с безопасностью во-вторых, здесь.
Да, я пишу скрипт опроса, и он выбирает соответствующий опрос из базы данных.
безопасность должна быть вашим главным приоритетом. Речь идет не о включении небезопасных и устаревших функций в ваше приложение. Любой может легко стереть вашу базу данных с помощью кода, который у вас есть
Prepare нельзя использовать для замены таких элементов, как таблицы или имена столбцов. Вы должны проверить / экранировать содержимое $ value вручную (если вам действительно нужны динамические имена таблиц).
@Landstalker Landstalker? Я неправильно понял ваш вопрос? Я думал, что проблема была в том, что MySQL давал вам синтаксическую ошибку? Опять же, что - точно - значение $sql перед вызовом prepare() ?
Моя цель - сделать это как можно более безопасным. Добавленный код работает.

hunteke · Accepted Answer · 2018-02-17T05-44-00.000Z

Для обеспечения безопасности вы абсолютно на виду, глядя на подготовленные заявления. Однако единственной переменной в вашем фрагменте кода является имя таблицы, и это создает проблему: имена таблиц не могут быть параметризованы, по крайней мере, в MySQL.

Итак, как бы вы подтвердили правильность принятой таблицы? Белый список. Возможны два подхода:

Жесткий код: список допустимых таблиц в вашем скрипте:

$validTableNames = ['somename', 'othertablename', 'stattable'];

Динамически получить их из БД:

$sql = "SELECT table_name FROM information_schema.tables where table_schema = '<your_database_name>'"
$validTableNames = [];
foreach ( $db->query( $sql ) as $row )
    $validTableNames[] = $row['table_name'];

И затем подтвердите, что переданный вход является допустимым именем:

if ( ! in_array($_GET['id'], $validTableNames) ) {
    // the passed table name is not valid.  Do what you will ...
}

Мне нравится прагматичный подход! Оно работает; благодарю вас! ^^ Кстати: если вы знаете о еще более безопасном методе, было бы неплохо знать.
@Landstalker security - это редко флажок, и чаще всего вопрос состоит в том, чтобы сделать его слишком дорогим для взломщика («Не стоит моего времени!»). С вашим надуманным сценарием, это примерно так же хорошо, как вы собираетесь получить. Когда вы добавляете больше сложности и больше переменных, мы можем говорить о разных подходах, но для поставленного вопроса, я сомневаюсь, вы найдете намного лучше.