PDO 준비된 문에서 ORDER BY 절의 매개변수 사용
PDO에서는 ORDER BY 절에 직접 매개변수를 사용할 수 없습니다. 이로 인해 잠재적인 SQL 주입 취약점이 발생할 수 있습니다.
이러한 상황이 발생하면 SQL 문자열에 ORDER BY 절을 직접 삽입해야 합니다. 그러나 SQL 주입 공격을 방지하려면 주의가 필요합니다.
예:
$order = 'columnName';
$direction = 'ASC';
$query = "SELECT * FROM table WHERE column = :my_param ORDER BY $order $direction";
$stmt = $db->prepare($query);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->execute();화이트리스트 도우미 기능:
잠재적 위험을 완화하려면 화이트리스트 도우미 기능을 사용하여 ORDER에 제공된 값을 검증하는 것이 좋습니다. BY 절은 합법적입니다. 예는 다음과 같습니다.
function white_list($value, $allowed_values, $error_message) {
if (!in_array($value, $allowed_values)) {
throw new Exception($error_message);
}
return $value;
}도우미 함수 사용:
$order = white_list($order, ["name", "price", "qty"], "Invalid field name"); $direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction"); $query = "SELECT field FROM table WHERE column = ? ORDER BY $order $direction"; $stmt = $db->prepare($query); $stmt->execute([$is_live]);
이 접근 방식은 허용된 값만 ORDER BY 절에 포함되도록 보장하여 악의적인 입력으로부터 애플리케이션을 실행합니다.
위 내용은 PDO 준비 문에서 매개 변수와 함께 ORDER BY를 안전하게 사용하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
