Rumah >pangkalan data >tutorial mysql >Bagaimanakah Saya Boleh Menggunakan ORDER BY dengan Selamat dalam Penyata PDO yang Disediakan?

Bagaimanakah Saya Boleh Menggunakan ORDER BY dengan Selamat dalam Penyata PDO yang Disediakan?

Susan Sarandon
Susan Sarandonasal
2024-12-09 03:12:09165semak imbas

How Can I Securely Use ORDER BY in Prepared PDO Statements?

Menetapkan ORDER BY Parameter dalam Penyata PDO Disediakan

Apabila cuba menggunakan parameter dalam bahagian ORDER BY pertanyaan SQL menggunakan PDO yang disediakan kenyataan, adalah penting untuk mengetahui bahawa PDO tidak menyokong nama lajur yang mengikat secara langsung atau arahan arahan sebagai parameter. Ini boleh menyebabkan kekeliruan apabila susunan pengisihan yang diingini tidak digunakan.

Untuk menyelesaikan isu ini, anda mesti memasukkan klausa ORDER BY terus ke dalam pertanyaan SQL, seperti yang digambarkan dalam contoh berikut:

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

Melepaskan Pertimbangan

Adalah penting untuk memastikan setiap pengendali dan pengecam dalam klausa ORDER BY dikodkan keras dalam skrip anda untuk mengelakkan kelemahan keselamatan. Jangan sekali-kali menginterpolasi input yang dibekalkan pengguna terus ke dalam klausa ORDER BY.

Fungsi Pembantu Penyenaraian Putih

Untuk memudahkan proses pengesahan dan senarai putih, anda boleh mencipta fungsi pembantu:

function white_list($value, $allowed, $error) {
  if (in_array($value, $allowed)) {
    return $value;
  } else {
    throw new Exception($error);
  }
}

Fungsi ini menyemak nilai terhadap senarai pilihan yang dibenarkan dan menimbulkan ralat jika nilainya tidak sah.

Penggunaan

Dengan fungsi pembantu penyenaraian putih, anda boleh mencipta kenyataan yang disediakan selamat untuk klausa ORDER BY:

$order = white_list($order, ["name","price","qty"], "Invalid field name");
$direction = white_list($direction, ["ASC","DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

Dengan mengikuti garis panduan ini, anda boleh menetapkan ORDER BY parameter dengan betul dalam pernyataan PDO yang disediakan sambil mengekalkan keselamatan.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan ORDER BY dengan Selamat dalam Penyata PDO yang Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn