Что не так с запросом?

Question

not-deanon @not-deanon

Что не так с запросом?

$user= $_POST['user'];
$w = "CREATE TABLE `wert`.`".$user."` (`ID` char(255) not null, `Page` char(255), `Class` char(255),`Top` float,`Left` float, PRIMARY KEY(`ID`))";

Ошибка:
Incorrect table name ''

В переменной user значение "Admin".

Вопрос задан более трёх лет назад
428 просмотров

5 комментариев

Подписаться 1 Оценить 5 комментариев

hoarywolf @hoarywolf

А потом те, кто так пишет, удивляются как их взломали.

Написано более трёх лет назад
not-deanon @not-deanon Автор вопроса

hoarywolf: у вас есть другой вариант?

Написано более трёх лет назад
Erling @Erling

hoarywolf изучаю SQL, проясните что здесь не так?

Написано более трёх лет назад
hoarywolf @hoarywolf

Вы передаете в SQL полученное извне без проверки. Злоумышленник может передать в ваш скрипт не "Admin" в параметре user, а строку, которая удалит все ваши таблицы или выведет все данные по пользователям. Почитате про SQL-инъекции.

Написано более трёх лет назад
not-deanon @not-deanon Автор вопроса

hoarywolf: инъекции в данный момент меня не интересуют, потому что до появления сего в сети еще далеко. В данный момент мне нужно, чтобы у таблицы было имя из переменной.

Написано более трёх лет назад

А потом те, кто так пишет, удивляются как их взломали.
hoarywolf изучаю SQL, проясните что здесь не так?
Вы передаете в SQL полученное извне без проверки. Злоумышленник может передать в ваш скрипт не "Admin" в параметре user, а строку, которая удалит все ваши таблицы или выведет все данные по пользователям. Почитате про SQL-инъекции.
hoarywolf: инъекции в данный момент меня не интересуют, потому что до появления сего в сети еще далеко. В данный момент мне нужно, чтобы у таблицы было имя из переменной.

Answer 1 · 2016-08-11 15:37:10

Виталий @KotSlon

Java Developer

Всё не так. :) гугли про "prepared statement" и "sql injection"

Ответ написан более трёх лет назад

Комментировать

Что не так с запросом?

Войдите на сайт