Что не так с запросом?

Question

[not-deanon]

$user= $_POST['user'];
$w = "CREATE TABLE `wert`.`".$user."` (`ID` char(255) not null, `Page` char(255), `Class` char(255),`Top` float,`Left` float, PRIMARY KEY(`ID`))";

Ошибка:
Incorrect table name ''

В переменной user значение "Admin".

Comments

[hoarywolf]

А потом те, кто так пишет, удивляются как их взломали.

[not-deanon]

hoarywolf: у вас есть другой вариант?

[Erling]

hoarywolf изучаю SQL, проясните что здесь не так?

[hoarywolf]

Вы передаете в SQL полученное извне без проверки. Злоумышленник может передать в ваш скрипт не "Admin" в параметре user, а строку, которая удалит все ваши таблицы или выведет все данные по пользователям. Почитате про SQL-инъекции.

[not-deanon]

hoarywolf: инъекции в данный момент меня не интересуют, потому что до появления сего в сети еще далеко. В данный момент мне нужно, чтобы у таблицы было имя из переменной.

Answer 1

[Иван Корюков]

Если вы создаёте кучу одинаковых таблиц с разными названиями - то у вас проблемы не с запросом как таковым, а с подходом к работе с БД.
Что мешает создать одну таблицу, в которой дополнительно будет поле user?
Ну и подобным образом вставлять данные в запрос тоже нехорошо. Любой пользователь может послать в POST вместо названия таблицы кусок sql кода, который либо удалит всю базу, либо позволит увидеть конфиденциальные данные.

Answer 2

[Виталий]

Всё не так. :) гугли про "prepared statement" и "sql injection"

Answer 3

[Сергей Зеленский]

Написано же некорректное имя таблицы , пишите просто без `wert`,и у вас прям не дыра,а дырище для выполнение sql-инъекции, используйте PDO или Mysqli и фильтруйте входные данные
UPD: Поддерживаю Иван Корюков так как вы делаете делать не стоит
сделайте таблицу users

CREATE TABLE `users` (`ID` char(255) not null, `username` char(255), `Page` char(255), `Class` char(255),`Top` float,`Left` float, PRIMARY KEY(`ID`))

и пишите в нее все что вам надо, не стоит плодить кучу таблиц

вот код в котором ваш вариант работает

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<title>Document</title>
</head>
<body>
	<form action="" method="POST">
		<input type="text" name="user">
		<input type="submit" value="submit">
		<?php 
		$user = $_POST['user'];
		$w = "CREATE TABLE `".$user."` (`ID` char(255) not null, `Page` char(255), `Class` char(255),`Top` float,`Left` float, PRIMARY KEY(`ID`))";
		$link = mysql_connect('localhost', 'root', '');
		mysql_select_db('test-new',$link);
		echo mysql_query($w);
		

			

		?>
	</form>
</body>
</html>

Comments

[not-deanon]

Об инъекциях я буду думать позже, сейчас это не критично. Без `wert` та же самая ошибка.

[Сергей Зеленский]

А значение с кавычками так и вводите?

[not-deanon]

Сергей Зеленский: Нет, в значении переменной кавычек нет. Я точно же так добавляю данные в таблицы - работает, а если использовать переменную в качестве названия - не работает.

[Сергей Зеленский]

все отлично работает проблема не в запросе

[not-deanon]

Сергей Зеленский: в моем случае значение переменной отправляется из другого php файла, отправляется удачно, но код не работает.
Если бы было возможно, я бы сделала так, как вы говорите, но в моем случае просто необходимо, чтобы для каждого пользователя была своя таблица: в ней прописаны айди объектов и некоторые их значения.

[Сергей Зеленский]

И что же у вас за случай?, в 99,99999% случаем такой подход не используют

[not-deanon]

Есть несколько объектов, которые заносятся в базу данных. У каждого объекта есть ряд свойств. Эти объекты имеют принадлежность к другим объектам. А эти объекты, в свою очередь, принадлежат пользователю. И все это в одну таблицу никак не совместить.

[Сергей Зеленский]

делаете таблицу объектов objects, с полем id,parent_object и user_id и прочими полями типа имени объекта и т.п. делаете таблицу свойств объектов properties_object c полями id, id_object , parametr, value
Далее делаете таблицу пользователей users с полями id ,username и т.п. и все у вас все распределено по отдельным таблицам и проще все делать

[hoarywolf]

Обычная ситуация, таблица для пользователей, таблица(ы) для объектов и relations между таблицами.