如何防止使用动态表名进行 SQL 注入？

Question

我以很高的声誉PHP家伙进行了这个讨论：

PDO 在这里没有用。以及 mysql_real_escape_string。 质量极差。

这当然很酷，但我真的不知道建议使用 mysql_real_escape_string 或 PDO 来修复此代码有什么问题：

<script type="text/javascript">
    var layer;

    window.location.href = "example3.php?layer="+ layer;

    <?php
        //Make a MySQL connection
        $query = "SELECT Category, COUNT(BUSNAME)
          FROM ".$_GET['layer']." GROUP BY Category";
        $result = mysql_query($query) or die(mysql_error());

进入这个

$layer = mysql_real_escape_string($_GET['layer']);
$query = "SELECT Category, COUNT(BUSNAME)
FROM `".$layer."` GROUP BY Category";

，考虑到JavaScript 代码被发送到客户端。

Answer 1

为了记录，这里是修复这个洞的示例代码。

$allowed_tables = array('table1', 'table2');
$clas = $_POST['clas'];
if (in_array($clas, $allowed_tables)) {
    $query = "SELECT * FROM `$clas`";
}

Answer 2

为了回答如何实际修复代码：

'...FROM `' . str_replace('`', '``', $tableName) . '`...'

这会复制表名中的所有反引号（这就是 MySQL 中的转义方式）。

我不确定的一件事是，这是否是“编码安全的”（如何正确称呼它？）。通常推荐mysql_real_escape_string 而不是addslashes，因为前者考虑了MySQL 连接的编码。也许这个问题在这里也适用。

Answer 3

你的建议确实不正确。

mysql_real_escape_string() 不适用于动态表名；它旨在转义字符串数据，仅由引号分隔。它不会逃脱反引号字符。这是一个很小但至关重要的区别。

所以我可以在其中插入 SQL 注入，我只需要使用结束反引号。

PDO does not provide sanitation for dynamic table names, either。

这就是为什么最好不要使用动态表名，或者如果必须使用，将它们与有效值列表进行比较，例如来自SHOW TABLES 命令的表列表。

我也没有真正完全意识到这一点，并且可能因为重复同样的错误建议而感到内疚，直到在 SO 上向我指出了这一点，也是由 Shrapnel 上校指出的。