首頁 >資料庫 >mysql教程 >PDO 準備語句可以綁定表名和列名或 SQL 關鍵字嗎?

PDO 準備語句可以綁定表名和列名或 SQL 關鍵字嗎?

Mary-Kate Olsen
Mary-Kate Olsen原創
2024-11-24 10:25:12541瀏覽

Can PDO Prepared Statements Bind Table and Column Names, or SQL Keywords?

PDO 準備語句可以綁定識別字或語法關鍵字嗎?

嘗試使用表示表格、欄位的變數建構動態查詢/column 以及要搜尋的值,在使用 PDO 準備好的語句時可能會遇到意想不到的困難。具體來說,使用bindParam() 或bindValue() 綁定這些變數可能會導致結果集為空。

要深入研究問題的癥結,了解 PDO 佔位符被指定用於表示資料文字至關重要。因此,嘗試將它們用作標識符(如表名或字段名)或語法關鍵字(例如“LIKE”)可能會導致錯誤的行為。

具體來說,PDO 不提供對綁定識別碼的固有支援. 這意味著開發人員必須承擔自己處理這些識別碼的責任。為了確保正確執行,需要遵守嚴格的規則:

綁定識別碼規則:

  1. 將識別符括在反引號內。
  2. 透過加倍轉義標識符內的反引號

這些格式規則可以防止語法錯誤和 SQL 注入漏洞。

綁定語法關鍵字的規則:

  1. 而關鍵字格式不可用,白名單至關重要。
  2. 驗證動態關鍵字是否與允許的清單匹配值以防止任意關鍵字替換。

範例:

考慮以下程式碼片段,它遵循上述規則:

$allowed = array("name", "price", "qty");
$key = array_search($_GET['field'], $allowed);
$field = $allowed[$key];
$query = "SELECT $field FROM t"; // Value is safe

總之,雖然PDO 準備好的語句在綁定資料文字方面表現出色,但它們缺乏對綁定標識符或語法關鍵字的支援。透過認真遵循概述的規則,開發人員可以確保安全、準確地執行利用這些關鍵元件的動態查詢。

以上是PDO 準備語句可以綁定表名和列名或 SQL 關鍵字嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn