내 SQL 문의 ORDER BY 절에 PDO 매개변수를 사용할 수 없는 이유는 무엇입니까?

PDO 문의 ORDER BY 매개변수

SQL 문의 ORDER BY 절에서 매개변수를 사용하는 데 어려움이 있습니다. :order 및 :direction 매개변수는 결과를 생성하지 못합니다.

문제 원인

PDO 매개변수는 ORDER BY 절에서 직접 사용할 수 없습니다. 정적 문자열이어야 합니다.

해결책

열 이름이나 정렬 방향에 대한 PDO 상수가 없습니다. 따라서 이러한 값을 SQL 문에 직접 삽입해야 합니다. 그러나 예방 조치를 취하는 것이 중요합니다.

1. 스크립트의 모든 연산자와 식별자를 하드코딩합니다.

$orders = array("name", "price", "qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";

2. 화이트리스트 도우미 사용 함수:

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

설명

화이트리스트 기능은 값을 확인하고 잘못된 경우 오류를 발생시켜 SQL 위험을 완화합니다. 주입 공격.

예

$sql = "SELECT field from table WHERE column = :my_param";

$stmt = $db->prepare($sql);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->bindParam(':order', $order, PDO::PARAM_STR);
$stmt->bindParam(':direction', $direction, PDO::PARAM_STR);
$stmt->execute();

위 내용은 내 SQL 문의 ORDER BY 절에 PDO 매개변수를 사용할 수 없는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!