為什麼我無法在準備好的 PDO 語句的 ORDER BY 子句中使用參數？

帶有準備好的PDO 語句的ORDER BY 語句中參數的可用性

在SQL 語句中，在ORDER BY 中使用參數時會遇到困難條款。儘管將參數綁定到 :order 和 :direction 佔位符，但該語句執行時沒有輸出。

與正常運作的 :my_param 佔位符不同，:order 和 :direction 佔位符需要直接插入 SQL 中。您可以如下執行此操作：

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

沒有 PDO::PARAM_COLUMN_NAME 常數或類似替代品。需要注意的是，ORDER BY 子句中的所有運算子和識別符都必須進行硬編碼。例如：

$orders = array("name", "price", "qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";

白名單（如下所示）是一種防止無效輸入的替代方法：

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

這可確保正確標記和處理不正確的值，從而增強安全性您的申請。

以上是為什麼我無法在準備好的 PDO 語句的 ORDER BY 子句中使用參數？的詳細內容。更多資訊請關注PHP中文網其他相關文章！