如何使用 PDO 准备好的语句安全地排序查询结果？

使用 PDO 准备好的语句进行有序查询

在数据库交互中，对查询结果进行排序是一项常见任务。使用带参数的 PDO 准备语句可以安全插入排序参数。但是，尝试在 ORDER BY 子句中使用参数时可能会出现困难。

以下查询演示了 WHERE 子句参数的使用，但无法应用排序：

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT field from table WHERE column = :my_param ORDER BY :order :direction");
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->bindParam(':order', $order, PDO::PARAM_STR);
$stmt->bindParam(':direction', $direction, PDO::PARAM_STR);
$stmt->execute();

参数 :my_param、:order 和 :direction 使用参数标记绑定。但是，排序子句无法正确运行。人们可能期望 ORDER BY 子句中的参数有一种转义机制，但这并不存在。

相反，有必要将排序参数直接插入 SQL 语句中，并采取适当的预防措施：

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

为了确保安全，建议对排序参数的值进行白名单的做法。以下代码片段说明了使用数组的白名单机制：

$orders = array("name","price","qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";

这种方法确保只有预定义的安全值才能用于排序，从而防止潜在的安全漏洞。

以上是如何使用 PDO 准备好的语句安全地排序查询结果？的详细内容。更多信息请关注PHP中文网其他相关文章！