Wie kann ich ORDER BY-Parameter sicher mit PDO-vorbereiteten Anweisungen in PHP verwenden?-MySQL-Tutorial-php.cn

Wie kann ich ORDER BY-Parameter sicher mit PDO-vorbereiteten Anweisungen in PHP verwenden?

Mary-Kate Olsen

Freigeben： 2024-12-27 00:34:10

Original

237 Leute haben es durchsucht

How Can I Safely Use ORDER BY Parameters with PDO Prepared Statements in PHP?

PDO-vorbereitete Anweisung: Festlegen von ORDER BY-Parametern

Beim Arbeiten mit SQL-Anweisungen in PHP unter Verwendung von PDO-vorbereiteten Anweisungen, Festlegen von Parametern in ORDER BY Klausel kann schwierig sein. Im Gegensatz zu anderen Parametern, die mit Methoden wie bindParam() gebunden werden können, bietet PDO keine direkte Möglichkeit, Parameter für ORDER BY anzugeben.

Um dieses Problem zu beheben, ist es notwendig, die Werte für Reihenfolge und Richtung direkt einzufügen in den SQL-String ein. Allerdings kann dieser Ansatz zu SQL-Injection-Schwachstellen führen, wenn Benutzereingaben nicht ordnungsgemäß bereinigt werden.

Vorsichtsmaßnahme

Die sicherste Methode besteht darin, ORDER BY fest zu codieren Kriterien in die SQL-Zeichenfolge ein, etwa so:

$order = 'columnName';
$direction = 'ASC';

$query = "SELECT field from table WHERE column = :my_param ORDER BY $order $direction";

$stmt = $db->prepare($query);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->execute();

Nach dem Login kopieren

Custom Helper Funktion

Ein alternativer Ansatz besteht darin, eine benutzerdefinierte Hilfsfunktion zu erstellen, die akzeptable Werte für die ORDER BY-Parameter auf die Whitelist setzt. Dadurch wird sichergestellt, dass nur gültige Werte verwendet werden, und das Risiko einer SQL-Injection verringert.

function white_list($value, array $whitelist, $errorMessage)
{
    if (!in_array($value, $whitelist)) {
        throw new Exception($errorMessage);
    }

    return $value;
}

$order = white_list($_GET['sort'], ["name", "price", "qty"], "Invalid field name");
$direction = white_list($_GET['direction'], ["ASC", "DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

Nach dem Login kopieren

Diese Hilfsfunktion überprüft die Gültigkeit der ORDER BY-Parameter und löst eine Ausnahme aus, wenn ein ungültiger Wert erkannt wird.

Das obige ist der detaillierte Inhalt vonWie kann ich ORDER BY-Parameter sicher mit PDO-vorbereiteten Anweisungen in PHP verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!