Rumah >pangkalan data >tutorial mysql >Bagaimanakah Saya Boleh Menggunakan ORDER BY dengan Selamat dalam Penyata PDO yang Disediakan?
Menetapkan ORDER BY Parameter dalam Penyata PDO Disediakan
Apabila cuba menggunakan parameter dalam bahagian ORDER BY pertanyaan SQL menggunakan PDO yang disediakan kenyataan, adalah penting untuk mengetahui bahawa PDO tidak menyokong nama lajur yang mengikat secara langsung atau arahan arahan sebagai parameter. Ini boleh menyebabkan kekeliruan apabila susunan pengisihan yang diingini tidak digunakan.
Untuk menyelesaikan isu ini, anda mesti memasukkan klausa ORDER BY terus ke dalam pertanyaan SQL, seperti yang digambarkan dalam contoh berikut:
$order = 'columnName'; $direction = 'ASC'; $stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");
Melepaskan Pertimbangan
Adalah penting untuk memastikan setiap pengendali dan pengecam dalam klausa ORDER BY dikodkan keras dalam skrip anda untuk mengelakkan kelemahan keselamatan. Jangan sekali-kali menginterpolasi input yang dibekalkan pengguna terus ke dalam klausa ORDER BY.
Fungsi Pembantu Penyenaraian Putih
Untuk memudahkan proses pengesahan dan senarai putih, anda boleh mencipta fungsi pembantu:
function white_list($value, $allowed, $error) { if (in_array($value, $allowed)) { return $value; } else { throw new Exception($error); } }
Fungsi ini menyemak nilai terhadap senarai pilihan yang dibenarkan dan menimbulkan ralat jika nilainya tidak sah.
Penggunaan
Dengan fungsi pembantu penyenaraian putih, anda boleh mencipta kenyataan yang disediakan selamat untuk klausa ORDER BY:
$order = white_list($order, ["name","price","qty"], "Invalid field name"); $direction = white_list($direction, ["ASC","DESC"], "Invalid ORDER BY direction"); $sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction"; $stmt = $db->prepare($sql); $stmt->execute([$is_live]);
Dengan mengikuti garis panduan ini, anda boleh menetapkan ORDER BY parameter dengan betul dalam pernyataan PDO yang disediakan sambil mengekalkan keselamatan.
Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan ORDER BY dengan Selamat dalam Penyata PDO yang Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!