ERREUR:SQLSTATE[42000]: erreur de Syntaxe ou de violation d'accès: 1064

J'étais à la recherche de la réponse pour les 3 dernières heures, et je ne sais pas quoi faire. Voici le code:

    function get_data($tablename)
    {
        try
        {
            $conn = $this->conn();
            $stmt = $conn->prepare("SELECT * FROM :tablename ORDER BY id");
            $stmt->bindParam(':tablename', $tablename, PDO::PARAM_STR);
            $stmt->execute();
            return $stmt;
        }
        catch (Exception $e)
        {
            echo "ERROR:" . $e->getMessage();
        }
    }

Et voici l'erreur:

ERREUR:SQLSTATE[42000]: erreur de Syntaxe ou de violation d'accès: 1064 Vous avez une erreur dans votre syntaxe SQL; consultez le manuel qui correspond à votre versions du serveur MySQL pour la bonne syntaxe à utiliser près de "produits" ORDER BY id' à la ligne 1

Ce que j'ai fait de mal?...

InformationsquelleAutor SpaceBuzz | 2013-06-08
  1. 3

    Comme indiqué ici (merci @YourCommonSense), vous ne pouvez pas utiliser un paramètre comme un nom de table; et si vous le faites, l'une des deux choses vont se produire:

    1. Avec les propres déclarations préparées à l'avance, l'élaboration de la déclaration module va lever une exception (et à juste titre, comme vous l'avez demandé de faire l'impossible).
    2. Avec des émules déclarations préparées à l'avance, le paramètre sera échappé à l'aveuglette, en une seule cité, et substitué à l', ce qui provoque une erreur de syntaxe SQL. C'est ce qui s'est passé ici.

    C'est ça le problème. Comme pour les solutions:

    • Réévaluer votre conception de base de données. Avez-vous vraiment besoin de partager des données entre différentes tables comme ça? Si non, combiner les données pertinentes dans un seul tableau, et la requête en conséquence.

    • Si vous êtes heureux avec la conception (ou ne pouvez pas la modifier), vous aurez besoin d'un laid insécurité hack comme suit:

      function get_data($tablename, $acceptable_tablenames = array()) {
  /* $acceptable_tablenames is an array of strings, containing
   *  table names that you'll accept. It's your job to make sure
   *  these are safe; this is a much easier task than arbitrary
   *  sanitization.
   */
  if (array_search($tablename, $acceptable_tablenames, true) === FALSE) {
    throw new Exception("Invalid table name"); /* Improve me! */
  } else {
    /* your try/catch block with PDO stuff in it goes here
     * make sure to actually return the data
     */
  }
}

      L'appeler comme get_data($table, array("my_datatable_1", "my_datatable_2")). De crédit pour le poste lié à au début de ma réponse pour l'inspiration.

    • +1 pour le "Réévaluer votre conception de base de données". J'aurais dû en parler moi-même.
    • michaelb958 et (le plus souvent 🙂 @YourCommonSense je vous remercie beaucoup. Vous, les gars, économiser de mon esprit, de l'auto-destruction.
    InformationsquelleAutor michaelb958
  2. 0

    AOP s'échappe de paramètres avec des guillemets simples ('). Table MySql noms doivent être échappés avec des backticks (`).

    Dans l'exemple fourni le nom de la table de paramètre, les Produits, est échappé des guillemets simples. C'est une caractéristique de sécurité de l'AOP moteur pour éviter les attaques par injection.

    En supposant que la valeur de $tablename de sens que dans le contexte des applications (par exemple. la validation de l'utilisateur peut voir toutes les données dans la table spécifiée.).

    La suivante devrait fonctionner:

    function get_data($tablename)
{
    try
    {
        $conn = $this->conn();
        $stmt = $conn->prepare("SELECT * FROM `" . str_replace("`","``",$tablename) . "` ORDER BY id;");
        $stmt->execute();
        return $stmt;
    }
    catch (Exception $e)
    {
        echo "ERROR:" . $e->getMessage();
    }
}
    • "C'est hacky" dans le sens de "injectable"
    • Je pense plus au fait que j'ai rarement écrire une instruction SQL dans le code et quand je le fais, j'essaie de prendre toutes les mesures pour s'assurer qu'il est entièrement et correctement échappé.
    • C'est bon de vous. Mais je ne vois pas de mesures dans le code fourni dans la réponse ici.
    • J'ai reformulé ma réponse et fait le MySql Déclaration de sécurité.
    • je vous remercie pour votre temps et votre réponse. En souviendra pour l'avenir.
    InformationsquelleAutor squirly