1

投稿でテーブル名を送信しようとしていますが、これで十分に保護されていますか?

$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);                                                                   
$naam = $_POST['naam']; 
$sql = "INSERT INTO ".$naam." (".$rows.") VALUES (".$values.")";

私も試しました

$naam = $db->quote($_POST['naam']);

これもうまくいきませんでした。最高の結果は十分に安全ですか?

また:完全なコード

それは私のデータベースに挿入します

a1, a2 and a3: d

いつ

a1 = a a2 = s a3 = d

try{
    $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);                                                                   

    $naam = $_POST['naam']; 

    $sql = "
        INSERT INTO ".$naam." (".$rows.")
        VALUES (".$values.")
        ";                                                              

    $stmt = $db->prepare($sql);                                         

 for ($i = $_POST['begin'] ; $i < $iets ; $i++){
     $anum = 'a'.$i;
     $avalue = $_POST[$anum];
     $stmt->bindParam($anum, $avalue, PDO::PARAM_STR);
     printf ("%s, %s||", $anum, $avalue);
    }
    printf ("%s, %s||", $rows, $values);
    $stmt->execute();                                                                                                                                       
}                                                                       
catch(PDOException $e)                                                  
{                                                                       
    echo '<pre>';                                                       
    echo 'Regel: '.$e->getLine().'<br>';                                
    echo 'Bestand: '.$e->getFile().'<br>';                              
    echo 'Foutmelding: '.$e->getMessage();                              
    echo '</pre>';                                                      
}
4

1 に答える 1

1

ユーザーは、データを挿入するテーブルを完全に制御できます。そして、あなたはpdoを十分に活用していません。クエリでパラメータを使用します。

$sql = "INSERT INTO table_name (col1,col2) VALUES (:val1, :val2)";

$stmt = $this->_db->prepare($sql); 
$stmt->bindParam(':val1', $value1, PDO::PARAM_INT); 
$stmt->bindParam(':val2', $value2, PDO::PARAM_STRING);

ここでは、テーブル名と列もハードコーディングされています。値は自動的にエスケープされます。

于 2012-12-14T19:39:47.277 に答える