Как правильно вписать переменную для экранирования подготовленного запроса?

Question

[Aspirant555]

$stmt = $connection->prepare("CREATE TABLE ? ( id INT(16) NOT NULL , count INT(16) NOT NULL ) ENGINE = InnoDB;");
          $stmt->bind_param('s', 'db1.'.$table1);
          $stmt->execute();
          $stmt->close();

Fatal error: Uncaught Error: Call to a member function bind_param() on bool in

Answer 1

[DevMan]

плейсхолдерами могут быть только значения полей, но не имена полей/таблиц/etc.
то есть ваш запрос все равно не выполнится, даже с правильным экранированием.

имена полей принято заключать в обратные кавычки для избежания конфликтов c ключевыми словами самого SQL.

Comments

[Aspirant555]

Это понятно, просто надеюсь информацию найти: обозначить значением?
Значит только mysqli_real_escape_string() ?

[DevMan]

aspirantes, дополнил.

[FanatPHP]

aspirantes, а какое отношение mysqli_real_escape_string() имеет к имени таблицы, я стесняюсь спросить?

[FanatPHP]

DevMan, ну стыдно же писать про обратные кавычки, если вопрос про безопасность

[DevMan]

FanatPHP, кому стыдно? да и писал я об очевидных косяках, а не безопасности.

[Aspirant555]

FanatPHP, в том случае, если таблица создается на введенных параметрах пользователя. Например, создал пользователь себе профиль с логином sql инъекции, а мы планируем на основании логина создать таблицу... Или, как изначально планировалось в коде вопроса.

[FanatPHP]

aspirantes, очень хорошо, но какое отношение mysqli_real_escape_string() имеет к имени таблицы-то?

[Aspirant555]

FanatPHP, так логин и нужно прогнать через mysqli_real_escape_string() перед вставкой в запрос на создание таблицы, чтобы немного обезопаситься от инъекций. Хоть по данному случаю уже от логина отказался, и перешел на числа и таблицы по ID.

[FanatPHP]

что такое "немного" обезопаситься? Это типа как вместо презерватива использовать святую молитву "авось пронесёт"?

И я в третий раз задаю вопрос, на который ты никак не можешь ответить: какое отношение имеет эта функция к именам таблиц? И если уж на то пошло - вообще к SQL инъекциям?

Answer 2

[eyuioa]

Никак, придётся подставлять переменную вручную, предварительно отсекая из неё всё лишнее. Так как для названия таблицы можно использоваться только [A-z_0-9], проблем с фильтрацией не возникнет

Comments

[FanatPHP]

вот что ж вы за летняи такие. Лень три буквы блин написать. Типа квадратные скобки и бэкслеш входят в разрешенные символы, серьёзно?

[eyuioa]

FanatPHP, где ты увидел бэкслэш? Все прекрасно поняли, что это кусок регулярки, если нет, то перед тем как лезть в БД нужно сначала учить сам язык. Срач ради срача какой-то провоцируешь

[FanatPHP]

В A-z я увидел
Вот чего сразу вскидываться?
Ну налажал, со всеми бывает.
Какая проблема сказать спасибо и исправить?