php - 如何动态准备 SQL 查询(也是列名)避免 SQL 注入(inject)

Question

我最近了解了 SQL 注入(inject)以及使用 prepare() 和 bind_param() 避免它的 PHP 推荐。现在，我想动态准备 SQL 查询，同时添加列名和值。

我以前是这样做的，让 HTML 输入的 name 字段与 MySQL 数据库列同名。

    <input type="text" name="firstname" >
    <input type="text" name="lastname" >

然后，使用 mysqli 动态创建 SQL 查询。

    // Extract values from POST
    $parameters = $_POST;
    // Organize the values in two strings
    foreach ($parameters as $id => $value) {
        $fields = $fields . "`" . $id . "`,";
        $values = $values . "'" . $value . "',"; 

        /*e.g.
            $fields = `firstname`,`lastname`
            $values = 'John','Wick'
        */
    }

    // Write into the database
    $sql = "INSERT INTO `user` ($fields) VALUES ($values)";

    /*e.g.
        INSERT INTO `user` (`firstname`,`lastname`) VALUES ('John','Wick')
    */

我想知道是否有办法使用 prepare() 和 bind_param() 来避免 SQL 注入(inject)，可能会添加一些 data-type="s" 到 HTML 输入标签，或者如果有更好、更多的最佳实践方法来做到这一点。

Answer 1

您只能对将成为常量值的元素使用绑定(bind)参数——带引号的字符串、带引号的日期时间或数字文字。

您不能将参数占位符用于 SQL 中的任何其他内容，例如列名、表名、值列表、SQL 关键字或表达式或其他语法。

如果您需要使列名动态化，唯一的选择是根据已知列的列表对其进行验证。

$columns_in_user_table = [
  'userid'=>null,
  'username'=>'',
  'firstname'=>'',
  'lastname'=>''
];
// Extract values from POST, but only those that match known columns
$parameters = array_intersect_key($_POST, $columns_in_user_table);
// Make sure no columns are missing; assign default values as needed
$parameters = array_merge($columns_in_user_table, $parameters);

如果你使用 PDO 而不是 mysqli，你可以跳过绑定(bind)。只需使用命名参数，并将列值对的关联数组直接传递给 execute():

$columns = [];
$placeholders = [];
foreach ($parameters as $col => $value) {
    $columns[] = "`$col`";
    $placeholders[] = ":$col";
}
$column_list = implode($columns, ',');
$placeholder_list = implode($placeholders, ',');

// Write into the database
$sql = "INSERT INTO `user` ($column_list) VALUES ($placeholder_list)";

$stmt = $pdo->prepare($sql);
$stmt->execute($parameters);