如何在準備好的 PDO 語句中安全地使用 ORDER BY？

在準備好的PDO 語句中設定ORDER BY 參數

嘗試使用已準備好的PDO 在SQL 查詢的ORDER BY 部分使用參數時語句，重要的是要注意PDO 不支援直接綁定列名或排序方向作為參數。當未應用所需的排序順序時，這可能會導致混亂。

要解決此問題，您必須將ORDER BY 子句直接插入SQL 查詢中，如下例所示：

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

轉義注意事項

確保ORDER 中的每個運算符和標識符都至關重要BY 子句被硬編碼在腳本中以防止安全漏洞。切勿將使用者提供的輸入直接插入 ORDER BY 子句中。

白名單輔助函數

要簡化驗證和白名單過程，您可以建立一個輔助函數：

function white_list($value, $allowed, $error) {
  if (in_array($value, $allowed)) {
    return $value;
  } else {
    throw new Exception($error);
  }
}

此函數根據允許的選項清單檢查該值，如果該值會引發錯誤無效。

用法

使用白名單輔助函數，您可以為ORDER BY 子句建立安全的預備語句：

$order = white_list($order, ["name","price","qty"], "Invalid field name");
$direction = white_list($direction, ["ASC","DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

透過遵循這些準則，您可以在準備好的PDO 語句中正確設定ORDER BY 參數，同時保持安全性。

以上是如何在準備好的 PDO 語句中安全地使用 ORDER BY？的詳細內容。更多資訊請關注PHP中文網其他相關文章！