PDO 준비 문에서 매개 변수와 함께 ORDER BY를 안전하게 사용하려면 어떻게 해야 합니까?

PDO 준비된 문에서 ORDER BY 절의 매개변수 사용

PDO에서는 ORDER BY 절에 직접 매개변수를 사용할 수 없습니다. 이로 인해 잠재적인 SQL 주입 취약점이 발생할 수 있습니다.

이러한 상황이 발생하면 SQL 문자열에 ORDER BY 절을 직접 삽입해야 합니다. 그러나 SQL 주입 공격을 방지하려면 주의가 필요합니다.

예:

$order = 'columnName';
$direction = 'ASC';

$query = "SELECT * FROM table WHERE column = :my_param ORDER BY $order $direction";

$stmt = $db->prepare($query);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->execute();

화이트리스트 도우미 기능:

잠재적 위험을 완화하려면 화이트리스트 도우미 기능을 사용하여 ORDER에 제공된 값을 검증하는 것이 좋습니다. BY 절은 합법적입니다. 예는 다음과 같습니다.

function white_list($value, $allowed_values, $error_message) {
  if (!in_array($value, $allowed_values)) {
    throw new Exception($error_message);
  }
  return $value;
}

도우미 함수 사용:

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$query = "SELECT field FROM table WHERE column = ? ORDER BY $order $direction";

$stmt = $db->prepare($query);
$stmt->execute([$is_live]);

이 접근 방식은 허용된 값만 ORDER BY 절에 포함되도록 보장하여 악의적인 입력으로부터 애플리케이션을 실행합니다.

위 내용은 PDO 준비 문에서 매개 변수와 함께 ORDER BY를 안전하게 사용하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!