Bagaimanakah Saya Boleh Menggunakan ORDER BY dengan Selamat dalam Penyata PDO yang Disediakan?-tutorial mysql-php.cn

Bagaimanakah Saya Boleh Menggunakan ORDER BY dengan Selamat dalam Penyata PDO yang Disediakan?

Susan Sarandon

Lepaskan： 2024-12-09 03:12:09

asal

169 orang telah melayarinya

How Can I Securely Use ORDER BY in Prepared PDO Statements?

Menetapkan ORDER BY Parameter dalam Penyata PDO Disediakan

Apabila cuba menggunakan parameter dalam bahagian ORDER BY pertanyaan SQL menggunakan PDO yang disediakan kenyataan, adalah penting untuk mengetahui bahawa PDO tidak menyokong nama lajur yang mengikat secara langsung atau arahan arahan sebagai parameter. Ini boleh menyebabkan kekeliruan apabila susunan pengisihan yang diingini tidak digunakan.

Untuk menyelesaikan isu ini, anda mesti memasukkan klausa ORDER BY terus ke dalam pertanyaan SQL, seperti yang digambarkan dalam contoh berikut:

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

Salin selepas log masuk

Melepaskan Pertimbangan

Adalah penting untuk memastikan setiap pengendali dan pengecam dalam klausa ORDER BY dikodkan keras dalam skrip anda untuk mengelakkan kelemahan keselamatan. Jangan sekali-kali menginterpolasi input yang dibekalkan pengguna terus ke dalam klausa ORDER BY.

Fungsi Pembantu Penyenaraian Putih

Untuk memudahkan proses pengesahan dan senarai putih, anda boleh mencipta fungsi pembantu:

function white_list($value, $allowed, $error) {
  if (in_array($value, $allowed)) {
    return $value;
  } else {
    throw new Exception($error);
  }
}

Salin selepas log masuk

Fungsi ini menyemak nilai terhadap senarai pilihan yang dibenarkan dan menimbulkan ralat jika nilainya tidak sah.

Penggunaan

Dengan fungsi pembantu penyenaraian putih, anda boleh mencipta kenyataan yang disediakan selamat untuk klausa ORDER BY:

$order = white_list($order, ["name","price","qty"], "Invalid field name");
$direction = white_list($direction, ["ASC","DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

Salin selepas log masuk

Dengan mengikuti garis panduan ini, anda boleh menetapkan ORDER BY parameter dengan betul dalam pernyataan PDO yang disediakan sambil mengekalkan keselamatan.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan ORDER BY dengan Selamat dalam Penyata PDO yang Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!