PDO 準備語句可以綁定表名和列名或 SQL 關鍵字嗎？

PDO 準備語句可以綁定識別字或語法關鍵字嗎？

嘗試使用表示表格、欄位的變數建構動態查詢/column 以及要搜尋的值，在使用 PDO 準備好的語句時可能會遇到意想不到的困難。具體來說，使用bindParam() 或bindValue() 綁定這些變數可能會導致結果集為空。

要深入研究問題的癥結，了解 PDO 佔位符被指定用於表示資料文字至關重要。因此，嘗試將它們用作標識符（如表名或字段名）或語法關鍵字（例如“LIKE”）可能會導致錯誤的行為。

具體來說，PDO 不提供對綁定識別碼的固有支援. 這意味著開發人員必須承擔自己處理這些識別碼的責任。為了確保正確執行，需要遵守嚴格的規則：

綁定識別碼規則：

1. 將識別符括在反引號內。
2. 透過加倍轉義標識符內的反引號

這些格式規則可以防止語法錯誤和 SQL 注入漏洞。

綁定語法關鍵字的規則：

1. 而關鍵字格式不可用，白名單至關重要。
2. 驗證動態關鍵字是否與允許的清單匹配值以防止任意關鍵字替換。

範例：

考慮以下程式碼片段，它遵循上述規則：

$allowed = array("name", "price", "qty");
$key = array_search($_GET['field'], $allowed);
$field = $allowed[$key];
$query = "SELECT $field FROM t"; // Value is safe

總之，雖然PDO 準備好的語句在綁定資料文字方面表現出色，但它們缺乏對綁定標識符或語法關鍵字的支援。透過認真遵循概述的規則，開發人員可以確保安全、準確地執行利用這些關鍵元件的動態查詢。

以上是PDO 準備語句可以綁定表名和列名或 SQL 關鍵字嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！