PDO Metoda do uniwersalnego wstawiania danych

Question

Tak wygląda kod który dla danych danych tworzy rekord dla określonej tabeli

if(!isset($_SESSION['zalogowany'])){
return
}

$pytajniki = '';
$wartosci = [];
$kolumny = '';

foreach($dane as $key => $value)
{
    $kolumny .= '`'.htmlentities($key, ENT_QUOTES, 'UTF-8').'`';
    $kolumny .= ',';
    $pytajniki .= '?';
    $pytajniki .= ',';
    array_push($wartosci , $value);
}

$pytajniki = substr($pytajniki, 0, -1);
$kolumny = substr($kolumny, 0, -1);
$query = "INSERT INTO test ($kolumny) values ($pytajniki) ";
$sth = $dbh->prepare($query);
$sth->execute($wartosci);

Dla values wartości są preparowane , jednak mam wątpliwości dla kolumn. Tam nie da się niestety użyć parametryzacji z PDO.

Tutaj zakładamy że każdy zalogowany użytkownik może dowolnie edytować dane w tej tabeli, nie ma też możliwości rejestrowania nowego użytkownika.

Możecie powiedzieć co o tym myślicie , czy ta metoda jest do końca bezpieczna.

Answer 1

 jednak mam wątpliwości dla kolumn. Tam nie da się niestety użyć parametryzacji z PDO

Na chwilę obecną, po dokładnym sprawdzeniu, nie da się użyć parametryzacji w nazwach kolumn.

 

Można co najwyżej spróbować np. tak

$columns = ['nazwa_kolumny_1', 'nazwa_kolumny_2'];
$values = ['wartość_1', 'wartość_2'];

$placeholders = implode(', ', array_fill(0, count($columns), '?'));
$columns = implode(', ', array_map([$pdo, 'quote'], $columns));

$sql = "INSERT INTO tabela ($columns) VALUES ($placeholders)";
$stmt = $pdo->prepare($sql);
$stmt->execute([...$values]);

 

W powyższym przykładzie tworzymy tablicę z placeholderem (?) dla każdej nazwy kolumny, a następnie łączymy je za pomocą przecinka.

$placeholders = implode(', ', array_fill(0, count($columns), '?'));

Następnie odpowiednio filtrujemy nazwy kolumn i łączymy je również za pomocą przecinka.

$columns = implode(', ', array_map([$pdo, 'quote'], $columns));

Powyższa linia służy do tworzenia ciągu znaków z nazwami kolumn, które następnie będą wstawione do zapytania SQL.

Funkcja array_map() wykonuje podany callback ,funkcję dla każdego elementu tablicy. W naszym przypadku podajemy callback jako tablicę z dwoma elementami: obiektem PDO oraz nazwą metody (quote). Funkcja quote() jest metodą obiektu PDO, która zwraca bezpieczny ciąg znaków zapytania SQL dla podanego ciągu znaków. Dzięki temu nazwy kolumn są odpowiednio zabezpieczone przed atakami typu SQL injection.

Funkcja implode() łączy elementy tablicy w jeden ciąg znaków. W naszym przypadku elementy tablicy są łączone za pomocą przecinka i spacji.

W rezultacie otrzymujemy ciąg znaków z odpowiednio zabezpieczonymi nazwami kolumn, który możemy wstawić do zapytania SQL.

W końcu łączymy nazwy kolumn i wartości w jedną tablicę i przekazujemy ją jako parametr do metody execute().

[...$values] - splat operator

Comments

No właśnie mi to za Chiny nie działa dla kolumn

Wywala

: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '?) VALUES (?)' 

Jakby dawał jakiś apostrof a potem już w ogóle nie zamieniał pytajnika.

Kod praktycznie skopiowany

require 'db.php';

$column = 'subject';
$value  = 'wartość';
$sql = "INSERT INTO test (?) VALUES (?)";
$stmt = $dbh->prepare($sql);
$stmt->execute([$column, $value]);

 

---

Przy $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, true); coś zaczyna łapać, ale dalej się rozwala dla kolumn ,wszytko jest ok jak jest używane dla wartości

 near ''todo' VALUES ('wartość')' at line 1

---

https://stackoverflow.com/questions/182287/can-php-pdo-statements-accept-the-table-or-column-name-as-parameter

Tu piszą że nie działa dla kolumn

---

@VBService, sory ale gadasz głupoty.

Wyżej dałem linka preparowanie nie działa dla kolumn.

https://phpdelusions.net/pdo/sql_injection_example

Tu jest fajnie opisane 

Rozwiązaniem jest whitelista z dopuszczalnymi nazwami kolumn. Metoda quote wcale nie jest taka super jak tam jest opisane.