Comment puis-je utiliser en toute sécurité des instructions préparées avec les paramètres de clause ORDER BY dans PDO ?-tutoriel mysql-php.cn

Comment puis-je utiliser en toute sécurité des instructions préparées avec les paramètres de clause ORDER BY dans PDO ?

Mary-Kate Olsen

Libérer： 2024-12-14 11:38:10

original

974 Les gens l'ont consulté

How Can I Securely Use Prepared Statements with ORDER BY Clause Parameters in PDO?

Utilisation d'instructions PDO préparées pour définir les paramètres ORDER BY

Lors de l'utilisation d'instructions PDO préparées pour exécuter des requêtes SQL, des difficultés peuvent survenir lors de la tentative de définition paramètres dans la clause ORDER BY. Cet article aborde ce problème en explorant les limites et en proposant des solutions alternatives.

Insertion SQL directe

Bien que l'utilisation de paramètres dans la clause WHERE soit fonctionnelle, leur application à ORDER La clause BY s’avère problématique. Pour contourner cette limitation, une insertion directe dans la requête SQL est nécessaire. Cependant, cette approche nécessite des précautions strictes pour garantir la sécurité et l'intégrité de la requête, comme indiqué ci-dessous :

$order = 'columnName';
$direction = 'ASC';

$query = "SELECT * from table WHERE column = :my_param ORDER BY $order $direction";

Copier après la connexion

Opérateurs et identifiants de codage en dur

Chaque opérateur et identifiant dans la clause ORDER BY doit être codé en dur dans le script, comme démontré ici :

$orders = array("name", "price", "qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";

Copier après la connexion

Le même principe s'applique au direction.

Fonction d'assistance pour la liste blanche

Pour minimiser la quantité de code requise, une fonction d'assistance pour la liste blanche peut être utilisée :

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";

Copier après la connexion

Ceci La fonction vérifie la valeur et déclenche une erreur si elle n'est pas valide. Cette technique garantit la validation et la sécurité des données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!