Mengapa Saya Tidak Boleh Menggunakan Parameter dalam ORDER BY Klausa Penyata PDO Saya yang Disediakan?

Kebolehgunaan Params mengikut Klausa ORDER BY dengan Penyata PDO Disediakan

Dalam pernyataan SQL anda, anda menghadapi kesukaran apabila menggunakan params dalam ORDER BY klausa. Walaupun param mengikat pada pemegang tempat :order dan :direction, pernyataan tersebut dilaksanakan tanpa output.

Berbeza dengan pemegang tempat :my_param, yang berfungsi dengan betul, pemegang tempat :order dan :direction memerlukan pemasukan terus ke dalam SQL. Anda boleh melakukan ini seperti berikut:

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

Tiada PDO::PARAM_COLUMN_NAME pemalar atau pengganti serupa. Kaveatnya ialah semua pengendali dan pengecam dalam klausa ORDER BY mesti dikodkan keras. Contohnya:

$orders = array("name", "price", "qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";

Penyenaraian putih, ditunjukkan di bawah, ialah pendekatan alternatif yang melindungi daripada input tidak sah:

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

Ini memastikan bahawa nilai yang salah dibenderakan dan dikendalikan dengan baik, meningkatkan keselamatan permohonan anda.

Atas ialah kandungan terperinci Mengapa Saya Tidak Boleh Menggunakan Parameter dalam ORDER BY Klausa Penyata PDO Saya yang Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!