PDO 준비된 문: ORDER BY 매개변수 설정
PDO 준비된 문을 사용하여 PHP에서 SQL 문으로 작업할 때 ORDER BY에서 매개변수를 설정합니다. 조항은 까다로울 수 있습니다. BINDParam()과 같은 메소드를 사용하여 바인딩할 수 있는 다른 매개변수와 달리 PDO는 ORDER BY에 대한 매개변수를 지정하는 직접적인 방법을 제공하지 않습니다.
이 문제를 해결하려면 순서 및 방향 값을 직접 삽입해야 합니다. SQL 문자열에 넣습니다. 그러나 이 접근 방식은 사용자 입력이 제대로 삭제되지 않으면 SQL 주입 취약점이 발생할 가능성이 있습니다.
주의 접근 방식
가장 안전한 방법은 ORDER BY를 하드코딩하는 것입니다.
$order = 'columnName';
$direction = 'ASC';
$query = "SELECT field from table WHERE column = :my_param ORDER BY $order $direction";
$stmt = $db->prepare($query);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->execute();Custom Helper와 같이 기준을 SQL 문자열에 추가합니다. 함수
또 다른 접근 방식은 ORDER BY 매개변수에 허용되는 값을 화이트리스트에 추가하는 사용자 정의 도우미 함수를 만드는 것입니다. 이를 통해 유효한 값만 사용되도록 하고 SQL 주입 위험을 완화합니다.
function white_list($value, array $whitelist, $errorMessage)
{
if (!in_array($value, $whitelist)) {
throw new Exception($errorMessage);
}
return $value;
}
$order = white_list($_GET['sort'], ["name", "price", "qty"], "Invalid field name");
$direction = white_list($_GET['direction'], ["ASC", "DESC"], "Invalid ORDER BY direction");
$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);이 도우미 함수는 ORDER BY 매개변수의 유효성을 확인하고 잘못된 값이 감지되면 예외를 발생시킵니다.
위 내용은 PHP에서 PDO 준비 문과 함께 ORDER BY 매개 변수를 안전하게 사용하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
