Importanza del backtick attorno al nome della tabella nella query MySQL

Question

Nelle query MySQL, quanto è importante inserire i backtick attorno al nome di una tabella. Ha qualcosa a che fare con la sicurezza? Gli attacchi di iniezione di MySQL sono possibili attraverso il nome della tabella se il nome della tabella viene creato dinamicamente in PHP in base agli input dell'utente?

Answer 1

Gli apici inversi si aiutano accidentalmente utilizzando un nome che è una parola riservata in SQL, per esempio. Prendi un tavolo chiamato "dove", è un nome stupido per un tavolo, sono d'accordo, ma se lo avvolgi in apici inverso funzionerà bene.

Answer 2

Se si dispone di un nome di tabella con lo stesso nome di una parola chiave, ad es. selezionare, la seguente query continua a funzionare:

select * from `select`; 

Answer 3

Nelle query MySQL, quanto è importante inserire i backtick attorno al nome di una tabella. Ha qualcosa a che fare con la sicurezza ?

Per quanto riguarda i backtick, li uso quando c'è un conflitto di nomi tra i nomi di mysql-specifcs e quelli di query.

Sono MySQL attacchi di iniezione possibili attraverso il nome della tabella, se il nome della tabella viene creata in modo dinamico in PHP sulla base di input dell'utente?

Quando c'è un input da parte dell'utente, è necessario assicurarsi di filtrare e convalidare l'input proveniente dall'utente. Quindi sì, c'è un rischio per la sicurezza.

ti consiglierei di utilizzare intval per i numeri e mysql_real_escape_string funzione per tutte le variabili che si possono utilizzare nelle query.