Peut PHP PDO États accepter la table ou de la colonne de nom de paramètre?

Pourquoi je ne peux pas passer le nom de la table pour un AOP déclaration?

$stmt = $dbh->prepare('SELECT * FROM :table WHERE 1');
if ($stmt->execute(array(':table' => 'users'))) {
    var_dump($stmt->fetchAll());
}

Est-il un autre moyen sûr pour insérer un nom de table dans une requête SQL? Sûr, je veux dire que je ne veux pas faire

$sql = "SELECT * FROM $table WHERE 1"

InformationsquelleAutor Jrgns | 2008-10-08

pdo php

203

Table et les noms de Colonnes NE peuvent pas être remplacés par les paramètres de l'AOP.

Dans ce cas, vous voulez simplement de filtre et nettoyez les données manuellement. Une façon de le faire est de passer en sténographie des paramètres à la fonction qui va exécuter la requête dynamiquement et ensuite utiliser un switch() instruction pour créer une liste de valeurs valides pour être utilisé pour le nom de la table ou de la colonne. De cette façon, aucune intervention de l'utilisateur ne va jamais directement dans la requête. Ainsi, par exemple:
```
function buildQuery( $get_var ) 
{
    switch($get_var)
    {
        case 1:
            $tbl = 'users';
            break;
    }

    $sql = "SELECT * FROM $tbl";
}
```
En ne laissant aucun cas de défaut ou à l'aide d'un cas par défaut renvoie un message d'erreur vous assurer que seules les valeurs que vous souhaitez pour vous servir.
- +1 pour la liste blanche des options au lieu d'utiliser tout type de méthode dynamique. Une autre alternative pourrait être de cartographie acceptable noms de table sur un tableau avec les clés qui correspondent au potentiel de la saisie de l'utilisateur (par exemple, array('u'=>'users', 't'=>'table', 'n'=>'nonsensitive_data') etc.)
- La lecture de ceci, il me semble que l'exemple ici génère SQL non valide pour la mauvaise entrée, parce qu'il n'a pas de default. Si l'utilisation de ce modèle, vous devez soit l'étiquette de l'un de vos cases comme default, ou ajouter une erreur explicite cas comme default: throw new InvalidArgumentException;
- Je pensais à un simple if ( in_array( $tbl, ['users','products',...] ) { $sql = "SELECT * FROM $tbl"; }. Merci pour l'idée.
- Je m'ennuie de mysql_real_escape_string(). Peut-être ici, je peux le dire sans que quelqu'un saut en disant "Mais vous n'en avez pas besoin, avec AOP"
- L'autre problème est que la dynamique de la table des noms de pause SQL inspection.
InformationsquelleAutor Noah Goodrich
133

À comprendre pourquoi la liaison d'une table (ou une colonne) de nom ne fonctionne pas, vous devez comprendre comment les espaces réservés dans les instructions préparées de travail: ils ne sont pas simplement substitué en tant que (convenablement échappé) les chaînes de caractères, et le SQL exécuté. Au lieu de cela, un SGBD demandé de "préparer" un état, vient avec un plan de requête pour la façon dont il exécute cette requête, y compris les tables et les index qu'elle utiliserait, qui sera la même quelle que soit la façon dont vous remplissez les espaces réservés.

Le plan de SELECT name FROM my_table WHERE id = :value sera la même quelle que soit vous remplacez la :value, mais apparemment similaires SELECT name FROM :table WHERE id = :value ne peut pas être prévu, parce que le SGBD n'a aucune idée de ce que la table que vous êtes, en réalité, va sélectionner à partir.

Ce n'est pas quelque chose d'une abstraction de la bibliothèque comme AOP peut ou doit contourner, car il irait à l'encontre de la touche 2 fins de déclarations préparées à l'avance: 1) pour permettre la base de données de décider à l'avance comment une requête doit être exécutée, et utiliser le même plan plusieurs fois; et 2) pour éviter des problèmes de sécurité en séparant la logique de la requête à partir de la variable d'entrée.
- Vrai, mais ne prend pas en compte pour les AOP de préparer la déclaration d'émulation (qui pourrait éventuellement paramétrer SQL identificateurs d'objet, mais je suis d'accord qu'il ne devrait probablement pas).
- Je suppose que l'émulation vise à améliorer la fonctionnalité standard de travail sur tous les SGBD saveurs, plutôt que d'ajouter complètement nouvelles fonctionnalités. Un espace réservé pour les identificateurs devront également être distincte de la syntaxe ne sont pas directement pris en charge par un SGBD. PDO est assez bas niveau de l'emballage, et ne pas par exemple l'offre et de génération SQL pour TOP/LIMIT/OFFSET clauses, alors ce serait un peu hors de place comme une caractéristique.
- +1 pour répondre au "pourquoi". J'ai pensé que c'était probablement la raison pour laquelle, et cela m'aide à comprendre la prepare() méthode un peu mieux.
InformationsquelleAutor IMSoP
13

Je vois que c'est un vieux post, mais j'ai trouvé utile et j'ai pensé partager une solution similaire à ce que @kzqai suggéré:

J'ai une fonction qui reçoit deux paramètres comme...
```
function getTableInfo($inTableName, $inColumnName) {
    ....
}
```
L'intérieur, j'ai de contre-vérifier les tableaux que j'ai mis en place pour s'assurer que les tables et les colonnes avec des "bienheureux" tables sont accessibles:
```
$allowed_tables_array = array('tblTheTable');
$allowed_columns_array['tblTheTable'] = array('the_col_to_check');
```
Puis la vérification de PHP avant d'exécuter AOP ressemble...
```
if(in_array($inTableName, $allowed_tables_array) && in_array($inColumnName,$allowed_columns_array[$inTableName]))
{
    $sql = "SELECT $inColumnName AS columnInfo
            FROM $inTableName";
    $stmt = $pdo->prepare($sql); 
    $stmt->execute();
    $result = $stmt->fetchAll(PDO::FETCH_ASSOC);
}
```
- bon pour faire court de solution, mais pourquoi ne pas simplement $pdo->query($sql)
- La plupart du temps hors de l'habitude, lors de la préparation des requêtes qui ont pour lier une variable. Lire aussi les appels répétés sont plus rapides w/ exécuter ici stackoverflow.com/questions/4700623/pdos-query-vs-execute
- il n'y a pas répété les appels dans votre exemple
InformationsquelleAutor Don
4

À l'aide de l'ancien n'est pas intrinsèquement plus sûr que le dernier, vous devez désinfecter l'entrée qu'il fait partie d'un tableau de paramètres ou d'une variable simple. Donc je ne vois pas quelque chose de mal avec l'aide de la dernière forme avec $table, à condition que vous assurez-vous que le contenu de $table est sûr (numérique plus souligne?) avant de l'utiliser.
- Considérant que la première option ne fonctionne pas, vous devez utiliser une forme de dynamique de création de requête.
- Oui, la question mentionnée ça ne marchera pas. J'essayais de décrire pourquoi il n'était pas terriblement important d'essayer de le faire de cette façon.
InformationsquelleAutor Adam Bellaire
2

(Réponse tardive, consulter ma note de côté).

La même règle s'applique lors de la tentative de créer une "base de données".

Vous ne pouvez pas utiliser une requête préparée à se lier à une base de données.

I. e.:
```
CREATE DATABASE IF NOT EXISTS :database
```
ne fonctionnera pas. Utiliser une liste fiable à la place.

Note de côté: j'ai ajouté cette réponse (comme un wiki de la communauté) car il est souvent utilisé pour fermer les questions avec les, où certaines personnes affiché des questions semblables à essayer de lier un base de données et non pas un tableau et/ou de la colonne.

InformationsquelleAutor
0

Partie de moi se demande si vous pouvez fournir votre propre désinfection fonction aussi simple que cela:
```
$value = preg_replace('/[^a-zA-Z_]*/', '', $value);
```
Je n'ai pas vraiment pensé, mais il semble que rien enlever à l'exception des caractères et des caractères de soulignement pourrait fonctionner.
- Table MySQL noms peuvent contenir d'autres caractères. Voir dev.mysql.com/doc/refman/5.0/en/identifiers.html
- Mais faut-il? 😉
- en fait certains défendre, ils devraient (besoin de la référence). Puisque la plupart des SGBD sont insensibles à la casse de stocker le nom dans un non différenciées de caractères, ex: MyLongTableName il est facile à lire, mais si vous vérifiez le nom enregistré il serait (probablement) être MYLONGTABLENAME ce qui n'est pas très lisible, donc MY_LONG_TABLE_NAME est effectivement plus lisible.
- Il ya une très bonne raison de ne pas avoir ce qu'une fonction: vous devriez très très rarement de la sélection d'un nom de table basé sur l'arbitraire d'entrée. Vous avez presque certainement ne voulez pas qu'un utilisateur malveillant de remplacer les "utilisateurs" ou de "réservations" dans Select * From $table. Une liste blanche ou la stricte correspondance de modèle (par exemple, "les noms commençant communication de suivi de 1 à 3 chiffres seulement") est vraiment essentiel ici.
InformationsquelleAutor Phil LaNasa

Comme pour la question principale dans ce fil, les autres postes, il est clair pourquoi on ne peut pas lier les valeurs pour les noms de colonne lors de la préparation de déclarations, voici donc une solution:

class myPdo{
private $user   = 'dbuser';
private $pass   = 'dbpass';
private $host   = 'dbhost';
private $db = 'dbname';
private $pdo;
private $dbInfo;
public function __construct($type){
$this->pdo = new PDO('mysql:host='.$this->host.';dbname='.$this->db.';charset=utf8',$this->user,$this->pass);
if(isset($type)){
//when class is called upon, it stores column names and column types from the table of you choice in $this->dbInfo;
$stmt = "select distinct column_name,column_type from information_schema.columns where table_name='sometable';";
$stmt = $this->pdo->prepare($stmt);//not really necessary since this stmt doesn't contain any dynamic values;
$stmt->execute();
$this->dbInfo = $stmt->fetchAll(PDO::FETCH_ASSOC);
}
}
public function pdo_param($col){
$param_type = PDO::PARAM_STR;
foreach($this->dbInfo as $k => $arr){
if($arr['column_name'] == $col){
if(strstr($arr['column_type'],'int')){
$param_type = PDO::PARAM_INT;
break;
}
}
}//for testing purposes i only used INT and VARCHAR column types. Adjust to your needs...
return $param_type;
}
public function columnIsAllowed($col){
$colisAllowed = false;
foreach($this->dbInfo as $k => $arr){
if($arr['column_name'] === $col){
$colisAllowed = true;
break;
}
}
return $colisAllowed;
}
public function q($data){
//$data is received by post as a JSON object and looks like this
//{"data":{"column_a":"value","column_b":"value","column_c":"value"},"get":"column_x"}
$data = json_decode($data,TRUE);
$continue = true;
foreach($data['data'] as $column_name => $value){
if(!$this->columnIsAllowed($column_name)){
$continue = false;
//means that someone possibly messed with the post and tried to get data from a column that does not exist in the current table, or the column name is a sql injection string and so on...
break;
}
}
//since $data['get'] is also a column, check if its allowed as well
if(isset($data['get']) && !$this->columnIsAllowed($data['get'])){
$continue = false;
}
if(!$continue){
exit('possible injection attempt');
}
//continue with the rest of the func, as you normally would
$stmt = "SELECT DISTINCT ".$data['get']." from sometable WHERE ";
foreach($data['data'] as $k => $v){
$stmt .= $k.' LIKE :'.$k.'_val AND ';
}
$stmt = substr($stmt,0,-5)." order by ".$data['get'];
//$stmt should look like this
//SELECT DISTINCT column_x from sometable WHERE column_a LIKE :column_a_val AND column_b LIKE :column_b_val AND column_c LIKE :column_c_val order by column_x
$stmt = $this->pdo->prepare($stmt);
//obviously now i have to bindValue()
foreach($data['data'] as $k => $v){
$stmt->bindValue(':'.$k.'_val','%'.$v.'%',$this->pdo_param($k));
//setting PDO::PARAM... type based on column_type from $this->dbInfo
}
$stmt->execute();
return $stmt->fetchAll(PDO::FETCH_ASSOC);//or whatever
}
}
$pdo = new myPdo('anything');//anything so that isset() evaluates to TRUE.
var_dump($pdo->q($some_json_object_as_described_above));

Ci-dessus est juste un exemple, donc inutile de le dire, copiez->coller ne fonctionne pas. Ajuster à vos besoins.
Maintenant, cela peut ne pas fournir la sécurité à 100%, mais il permet un certain contrôle sur les noms de colonne quand ils "viennent" comme des chaînes dynamiques et peuvent être modifiées sur les utilisateurs finaux. En outre, il n'est pas nécessaire de construire un tableau avec votre colonne de la table des noms et des types car ils sont extraits à partir de la information_schema.

InformationsquelleAutor man

Vous devez vous connecter pour publier un commentaire.