Wie kann ich ORDER BY sicher mit Parametern in PDO-vorbereiteten Anweisungen verwenden?

Verwenden von Parametern in der ORDER BY-Klausel mit vorbereiteten PDO-Anweisungen

In PDO ist es nicht möglich, Parameter in der ORDER BY-Klausel direkt zu verwenden. Dies kann zu potenziellen SQL-Injection-Schwachstellen führen.

Wenn eine solche Situation auftritt, ist es notwendig, die ORDER BY-Klausel direkt in die SQL-Zeichenfolge einzufügen. Es ist jedoch Vorsicht geboten, um SQL-Injection-Angriffe zu verhindern.

Beispiel:

$order = 'columnName';
$direction = 'ASC';

$query = "SELECT * FROM table WHERE column = :my_param ORDER BY $order $direction";

$stmt = $db->prepare($query);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->execute();

Whitelisting-Hilfsfunktion:

Um potenzielle Risiken zu mindern, wird empfohlen, eine Whitelisting-Hilfsfunktion zu verwenden, um zu überprüfen, ob die für die ORDER BY-Klausel bereitgestellten Werte legitim sind. Hier ist ein Beispiel:

function white_list($value, $allowed_values, $error_message) {
  if (!in_array($value, $allowed_values)) {
    throw new Exception($error_message);
  }
  return $value;
}

Verwendung der Hilfsfunktion:

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$query = "SELECT field FROM table WHERE column = ? ORDER BY $order $direction";

$stmt = $db->prepare($query);
$stmt->execute([$is_live]);

Dieser Ansatz stellt sicher, dass nur zulässige Werte in der ORDER BY-Klausel enthalten sind, und schützt so Ihre Anwendung vor böswilligen Eingaben.

Das obige ist der detaillierte Inhalt vonWie kann ich ORDER BY sicher mit Parametern in PDO-vorbereiteten Anweisungen verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!