Heim >Backend-Entwicklung >PHP-Tutorial >PDO如何处理SQL语句中对字段名以及表名的转义

PDO如何处理SQL语句中对字段名以及表名的转义

WBOY
WBOYOriginal
2016-06-06 20:51:521465Durchsuche

比如在一个数据表中有一个字段叫order,是专门用来做排序的,我的语句可能要这么写

$sth = $pdo->prepare('SELECT * FROM table_name ORDER BY order ASC');
$sth->execute();

但是因为order本身是一个关键字,那么在执行的时候就会报syntax错误,我知道在pdo里对字段可以用:column_name来动态绑定,它会自动处理引号等问题,也可以用$pdo->quote来转义字符串,但是对字段名和表名却没有方法来转义。

这种转义在不同的数据库系统里是一样的,比如在mysql里

SELECT * FROM table_name ORDER BY `order` ASC

而在sqlite里

SELECT * FROM table_name ORDER BY "order" ASC

有没有一种通用而又省事的办法来处理这个问题呢

更新

根据答案最后总结出一种通用的转义方法

$escapes = array(
    'mysql'    =>    array('`', '`'),
    'mssql'    =>    array('[', ']')
);

$driver = $db->getAttributes(PDO::ATTR_DRIVER_NAME);
$escape = isset($escapes[$driver]) ? $escapes[$driver] : array('"', '"');
$field = $escape[0] . $field . $escape[1];

回复内容:

比如在一个数据表中有一个字段叫order,是专门用来做排序的,我的语句可能要这么写

$sth = $pdo->prepare('SELECT * FROM table_name ORDER BY order ASC');
$sth->execute();

但是因为order本身是一个关键字,那么在执行的时候就会报syntax错误,我知道在pdo里对字段可以用:column_name来动态绑定,它会自动处理引号等问题,也可以用$pdo->quote来转义字符串,但是对字段名和表名却没有方法来转义。

这种转义在不同的数据库系统里是一样的,比如在mysql里

SELECT * FROM table_name ORDER BY `order` ASC

而在sqlite里

SELECT * FROM table_name ORDER BY "order" ASC

有没有一种通用而又省事的办法来处理这个问题呢

更新

根据答案最后总结出一种通用的转义方法

$escapes = array(
    'mysql'    =>    array('`', '`'),
    'mssql'    =>    array('[', ']')
);

$driver = $db->getAttributes(PDO::ATTR_DRIVER_NAME);
$escape = isset($escapes[$driver]) ? $escapes[$driver] : array('"', '"');
$field = $escape[0] . $field . $escape[1];

就我的经验来说,还真没有,遇到这种问题,也许你只能使用判断driver的方法来达到目的。你可以专门为此写个函数或者方法:

function add_quote_identifier($field, $driver = 'mysql')
{
    switch ($driver) {
        case 'mysql':
            return sprintf('`%s`', $field);
        case 'sqlite':
            return sprintf('"%s"', $field);
        default:
            return $field;
    }
}

然后再利用他来prepare statement:

$stmt = $dbh->prepare(sprintf('SELECT * FROM table_name ORDER BY %s ASC', add_quote_identifier('order')));

结合 @Chris Yue 的方案,可以从连接实例里直接获取是什么driver:

// ...
$driver = $db->getAttributes(PDO::ATTR_DRIVER_NAME);
echo $driver; //如mysql

但我觉得更有建设性意义的问题是:“如何避免使用保留字”,因为不应该给不合法标识的存在提供便利:

  • 首先说个与技术无关的方面:某些时候,“居然用了保留字”会成为话柄,对吧?这类情形我见了不少。既然都知道不要用保留字了,何苦呢?
  • DBA或者其他习惯用命令行、写大量SQL的人,时不时还要留心字段转义,很闹心。
  • 各人的工具集不会完全统一,总有这种那种的备份或者分析工具没有自动转义,可能会导致时间、精力的浪费。
  • RMDBS的版本(SQL标准还总改呢)谁也穷举不了,所以各大ORM经过讨论后都决定不做表名和字段的自动转义

避免保留字很简单:

  • 表名加个前缀就完了,比如gfw_之类的,谁这么缺德会用这个作为保留字?
  • 字段名应该经过一个设计文档来确认,或者至少大家有一个共同的地方去标注,在码很多代码之前就发现问题,并且逐渐积累成规范

  1. Chris Yue的答案是见招拆招,可以帮助你解决历史遗留问题
  2. modi的答案是良好的设计规则,可以帮你在新项目中规避此类问题,相比之下,我更赞同这个答案,历史项目中的这类字段和表名,最好能够通过重构消灭掉。
  3. PDO不支持的特性还有很多,例如SELECT * FROM table_name WHERE id IN (:id_lists)就是不支持的,所以后来我在lotusphp中不使用PDO的预处理特性了,改用自己的PHP方法来把SQL语句完全当做字串模板处理,这有违预处理语句的初衷,是个无奈的选择。你既然选择了PHP与PDO,就最好使用它最可靠的特性,像modi说的那样,设计阶段就避开这些麻烦。
  4. MySQL Prepared Statements其实是支持table名用占位符的,就像这样:
select * from @table;
set @table='sf_questions';
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn