PHP,MY SQL错误查询[重复]

Posted

技术标签:

【中文标题】PHP,MY SQL错误查询[重复]【英文标题】:PHP, MY SQL error query [duplicate] 【发布时间】:2016-09-29 01:50:54 【问题描述】:

我有一个应用程序通过它为我的 php 传递一个变量(nomecardapioBD,它接收并记录在变量 :nomecardapioBD 中),这是我要选择所有行和列的表名。

但是通过邮寄方式接收变量不能预约。谁能告诉我这部分代码有什么问题?

$query = "Select * FROM :nomecardapioBD ";

  $query_params = array(
        ':nomecardapioBD' => $_POST['nomecardapioBD']
    );

//execute query
try 
    $stmt   = $db->prepare($query);
    $result = $stmt->execute($query_params);

catch (PDOException $ex) 
    $response["success"] = 0;
    $response["message"] = "Database Error!";
    die(json_encode($response));


// Finally, we can retrieve all of the found rows into an array using fetchAll 
$rows = $stmt->fetchAll();

【问题讨论】:

表和列名不能被PDO中的参数替换。 【参考方案1】:

表名和列名不能被 PDO 中的参数替换。就当做

$table=$_POST['nomecardapioBD'];
$query = "Select * FROM $table";


//execute query
try 
    $stmt   = $db->prepare($query);
    $result = $stmt->execute();

catch (PDOException $ex) 
    $response["success"] = 0;
    $response["message"] = "Database Error!";
    die(json_encode($response));

【讨论】:

它也有效,非常感谢你的真实 你应该被投票结束这个问题,而不是发布一个导致 SQL 注入的不安全答案。【参考方案2】:

为什么不这样?

$query = "Select * FROM " .  $_POST['nomecardapioBD'];


//execute query
try 
    $stmt   = $db->prepare($query);
    $result = $stmt->execute();

catch (PDOException $ex) 
    $response["success"] = 0;
    $response["message"] = "Database Error!";
    die(json_encode($response));


// Finally, we can retrieve all of the found rows into an array using fetchAll 
$rows = $stmt->fetchAll();

不过,您还应该进行某种输入清理。

【讨论】:

它成功了,非常感谢你的真实 这个答案本身就是一个 SQL 注入。想知道为什么它受到如此多的支持。 @YourCommonSense 我并不是要提供行业标准的解决方案。我向 OP 展示了解决他的问题的方法。我做了最后的声明,建议他不要冒险。 你显示的方式不对。 此问题已作为副本关闭,并带有指向正确解决方案的答案的链接。但如果你好奇你的编辑出了什么问题,我会解释一下:你看,任何 escape_string 函数本质上都是只针对字符串的。虽然用 th 转义标识符将无济于事,也不会停止注射,同时给你一种虚假的安全感。

以上是关于PHP,MY SQL错误查询[重复]的主要内容,如果未能解决你的问题,请参考以下文章

PHP MySQLi不执行插入查询[重复]

使用带参数的 LIKE 时 SQL 引发语法错误 [重复]

将php数组传递给sql查询[重复]

将php数组传递给sql查询[重复]

如何从php中的sql查询中获取字符串[重复]

将 PHP SQL 转换为 Laravel 查询构建器 [重复]