动态表名不可参数化,必须白名单校验或正则强约束;禁止拼接未过滤变量、mysqli_real_escape_string和pdo->quote无效;LOAD DATA INFILE不支持变量表名,需先插值再执行。
PHP 动态表名导入前必须确认 PDO 是否启用预处理
直接拼接变量到 SQL 语句中实现“动态表名”是常见误解,PDO::prepare() 不支持对表名、字段名等结构化标识符做参数化绑定。一旦用 :table 或 ? 占位符试图绑定表名,会报错 SQLSTATE[42000]: Syntax error or access violation。
所以核心判断是:动态表名 ≠ 参数化,必须手动校验 + 白名单过滤,否则就是 SQL 注入高危点。
- 只允许字母、数字、下划线,且必须以字母开头(如
class_2025_a) - 绝不能出现反引号、点号、分号、空格或任何控制字符
- 最佳实践是查配置表或硬编码白名单,比如
['class_101', 'class_102', 'grad_2025'] - 用
preg_match('/^[a-zA-Z][a-zA-Z0-9_]*$/', $table_name)做基础校验,但不替代白名单
用 mysqli_real_escape_string() 对表名无效,别用
有人误以为对表名调用 mysqli_real_escape_string() 就安全了——完全错误。这个函数只对字符串字面值(如 INSERT INTO t VALUES ('...') 中的值)起作用,对 INSERT INTO `{$table}` 这类结构部分无任何转义能力,攻击者仍可注入 class_101` UNION SELECT ... # 等恶意语法。
真正可用的只有两种方式:
- 白名单匹配:
in_array($table_name, $allowed_tables, true) - 正则强约束:
ctype_alpha($table_name[0]) && preg_match('/^[a-zA-Z][a-zA-Z0-9_]{2,32}$/', $table_name) - 若表名来自 URL 参数(如
?class=class_101),务必在路由层就拦截非法值,不要等到 DAO 层才校验
导入 CSV 到动态表时,LOAD DATA INFILE 不支持变量表名
想用 LOAD DATA INFILE '/tmp/data.csv' INTO TABLE {$table}?MySQL 会直接报错 ERROR 1146 (42S02): Table 'db.{$table}' doesn't exist,因为服务端解析 SQL 时 {$table} 还未被 PHP 替换。
正确做法是先完成变量插值,再执行完整 SQL:
$table = $this->validateTableName($_GET['class'] ?? '');
$sql = "LOAD DATA INFILE '/var/www/uploads/{$safe_filename}'
INTO TABLE `{$table}`
FIELDS TERMINATED BY ','
ENCLOSED BY '\"'
LINES TERMINATED BY '\n'
IGNORE 1 ROWS";
$mysqli->query($sql);
注意:LOAD DATA INFILE 要求文件在 MySQL 服务端路径,本地开发常因权限失败;生产环境更推荐用 fgetcsv() 分批读 + INSERT ... VALUES 批量插入,可控性更强。
用 pdo->quote() 包裹表名是典型误用
pdo->quote() 返回的是带单引号的字符串字面量,比如 pdo->quote('class_101') 得到 'class_101',而 SQL 中表名需要的是反引号包裹的标识符 `class_101`。直接拼进去会导致语法错误:SELECT * FROM 'class_101' 是非法的。
如果非要用 PDO,只能靠手动加反引号 + 白名单:
$table = $this->validateTableName($input);
$sql = "SELECT * FROM `{$table}` WHERE status = ?"; // 字段/值仍可用 ? 占位
$stmt = $pdo->prepare($sql);
$stmt->execute([$status]);
表名动态性越强,出错和被绕过的风险越高。通信录场景下,班级表通常固定有限,硬编码或配置驱动比运行时拼接更稳。
