準備文の中でテーブル名をパラメータ化できますか？

Question

私はmysqli_stmt_bind_param関数を何度も使ってきました。しかし、SQLインジェクションに対して保護しようとしている変数を分離すると、エラーに陥ります。

ここではいくつかのサンプルコードです：

function insertRow($db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol) 
{ 
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);"); 
    mysqli_stmt_bind_param($statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol); 
    $statement->execute(); 
} 

それが何らかの形で別のバインド・パラメータ文を作る、別の疑問符文を使用して.$new_table.連結を交換、またはSQLインジェクションから保護するために、既存のものに追加することは可能ですか？

function insertRow($db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol) 
{  
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);"); 
    mysqli_stmt_bind_param($statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol); 
    $statement->execute(); 
} 

Answer 1

あなたの質問への短い答えは「ノー」である：このまたはこの何らかの形のよう

。

データベースレベルでは、プリペアドステートメントでは、SQL文の「値」ビットにのみパラメータをバインドできます。

この考え方の1つの考え方は、「実行時に文の実行時にその意味を変えずに置き換えることができるもの」です。テーブル名はランタイム値の1つではなく、SQL文そのものの有効性（つまり、有効なカラム名）を判断し、実行時に変更するとSQL文が有効かどうかが変わる可能性があります。

プリペアドステートメントのパラメータ置換をエミュレートするデータベースインターフェイスであっても、実際にプレースホルダをどこからでも使用できるように、プリペアドステートメントをデータベースに実際に送信するのではなく、それらのシステムのデータベースに送られる前に）テーブルのプレースホルダの値は文字列であり、データベースに送信されるSQL内にそのように囲まれているので、mytableのSELECT * FROM ?は、実際にはパラメタとしてSELECT * FROM 'mytable'これは無効なSQLです。

あなたの最善の策は、ちょうど

SELECT * FROM {$mytable} 

を継続することですが、あなたは絶対にはその$mytableは、ユーザの入力から来ている場合は、最初のチェック対象のテーブルのホワイトリストを持っている必要があります。

Answer 2

結局私は完璧な答えを得ます。 prepare文でテーブル名を動的に書く方法。すべてのトリックは '{}'で起こります。この '{}'の中で変数を使用する必要があります。それは私のコードで動作しています。