준비된 PDO 문에서 ORDER BY를 어떻게 안전하게 사용할 수 있나요?

준비된 PDO 문에서 ORDER BY 매개변수 설정

준비된 PDO를 사용하여 SQL 쿼리의 ORDER BY 섹션에서 매개변수를 사용하려고 할 때 문에서 PDO는 열 이름이나 순서 지정 방향을 매개변수로 직접 바인딩하는 것을 지원하지 않는다는 점을 아는 것이 중요합니다. 이는 원하는 정렬 순서가 적용되지 않으면 혼란을 초래할 수 있습니다.

이 문제를 해결하려면 다음 예와 같이 ORDER BY 절을 SQL 쿼리에 직접 삽입해야 합니다.

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

이스케이프 고려 사항

ORDER의 모든 연산자와 식별자가 올바른지 확인하는 것이 중요합니다. 보안 취약점을 방지하기 위해 BY 절이 스크립트에 하드코딩되어 있습니다. 사용자 제공 입력을 ORDER BY 절에 직접 삽입하지 마십시오.

화이트리스트 도우미 함수

검증 및 화이트리스트 프로세스를 단순화하려면 도우미 함수를 생성할 수 있습니다.

function white_list($value, $allowed, $error) {
  if (in_array($value, $allowed)) {
    return $value;
  } else {
    throw new Exception($error);
  }
}

이 함수는 허용된 옵션 목록과 비교하여 값을 확인하고 다음과 같은 경우 오류를 발생시킵니다. 값이 잘못되었습니다.

사용

화이트리스트 도우미 기능을 사용하면 ORDER BY 절에 대해 준비된 안전한 보안 명령문을 생성할 수 있습니다.

$order = white_list($order, ["name","price","qty"], "Invalid field name");
$direction = white_list($direction, ["ASC","DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

이 지침을 따르면 보안을 유지하면서 준비된 PDO 문에서 ORDER BY 매개 변수를 올바르게 설정할 수 있습니다.

위 내용은 준비된 PDO 문에서 ORDER BY를 어떻게 안전하게 사용할 수 있나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!