如何在 PDO 准备语句中安全地使用带参数的 ORDER BY？

在 PDO 准备语句中使用 ORDER BY 子句中的参数

在 PDO 中，无法直接在 ORDER BY 子句中使用参数。这可能会导致潜在的 SQL 注入漏洞。

遇到这种情况时，需要将 ORDER BY 子句直接插入 SQL 字符串中。但是，必须小心防止 SQL 注入攻击。

示例：

$order = 'columnName';
$direction = 'ASC';

$query = "SELECT * FROM table WHERE column = :my_param ORDER BY $order $direction";

$stmt = $db->prepare($query);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->execute();

白名单辅助函数：

为了降低潜在风险，建议使用白名单辅助函数来验证为ORDER BY 子句是合法的。下面是一个示例：

function white_list($value, $allowed_values, $error_message) {
  if (!in_array($value, $allowed_values)) {
    throw new Exception($error_message);
  }
  return $value;
}

使用辅助函数：

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$query = "SELECT field FROM table WHERE column = ? ORDER BY $order $direction";

$stmt = $db->prepare($query);
$stmt->execute([$is_live]);

此方法可确保仅允许的值包含在 ORDER BY 子句中，从而保护您的来自恶意输入的应用程序。

以上是如何在 PDO 准备语句中安全地使用带参数的 ORDER BY？的详细内容。更多信息请关注PHP中文网其他相关文章！