準備された PDO ステートメントでの ORDER BY 句での Params の使用可能性
SQL ステートメントで、ORDER BY 内で params を使用するときに問題が発生する句。 params を :order および :direction プレースホルダーにバインドしているにもかかわらず、ステートメントは出力なしで実行されます。
適切に機能する :my_param プレースホルダーとは異なり、:order および :direction プレースホルダーは SQL に直接挿入する必要があります。これは次のように実行できます。
$order = 'columnName'; $direction = 'ASC'; $stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");
PDO::PARAM_COLUMN_NAME 定数または同様の代替物はありません。注意点は、ORDER BY 句内のすべての演算子と識別子はハードコードする必要があるということです。例:
$orders = array("name", "price", "qty"); $key = array_search($_GET['sort'], $orders); $order = $orders[$key]; $query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";
以下に示すホワイトリストは、無効な入力を保護する代替アプローチです。
$order = white_list($order, ["name", "price", "qty"], "Invalid field name"); $direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction"); $sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction"; $stmt = $db->prepare($sql); $stmt->execute([$is_live]);
これにより、不正な値にフラグが立てられ、適切に処理され、セキュリティが強化されます。アプリケーションの
以上が準備された PDO ステートメントの ORDER BY 句でパラメータを使用できないのはなぜですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。