如何在 PDO 中安全地使用帶有 ORDER BY 子句參數的準備語句？

使用準備好的PDO 語句設定ORDER BY 參數

使用準備好的PDO 語句來設定ORDER BY 參數

使用準備好的PDO 語句來執行SQL 查詢時，嘗試設定時可能會出現困難ORDER BY 子句中的參數。本文透過探討限制並提供替代解決方案來解決此問題。

直接 SQL 插入

$order = 'columnName';
$direction = 'ASC';

$query = "SELECT * from table WHERE column = :my_param ORDER BY $order $direction";

雖然在 WHERE 子句中使用參數是有效的，但將它們應用於 ORDER BY 條款被證明是有問題的。要繞過此限制，需要直接插入 SQL 查詢。然而，這種方法需要嚴格的預防措施來確保查詢的安全性和完整性，如下所示：

硬編碼運算子和識別碼

$orders = array("name", "price", "qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";

每個運算符和標識符ORDER BY子句中的內容必須在腳本中進行硬編碼，如下所示：

The同樣的原則也適用於方向。

白名單輔助函數

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";

為了盡量減少所需的程式碼量，可以使用白名單輔助函數：

此函數檢查值，如果無效則觸發錯誤。該技術確保了數據的有效性和安全性。

以上是如何在 PDO 中安全地使用帶有 ORDER BY 子句參數的準備語句？的詳細內容。更多資訊請關注PHP中文網其他相關文章！