Bagaimanakah Saya Boleh Menggunakan ORDER BY Parameter dengan Penyata Disediakan PDO dengan Selamat?

Penyata Disediakan PDO: Menetapkan ORDER BY Parameter

Apabila bekerja dengan pernyataan PDO yang disediakan, anda mungkin menghadapi kesukaran apabila cuba menggunakan parameter dalam URUSAN MENGIKUT klausa. Walaupun pernyataan akan dilaksanakan tanpa ralat, ia mungkin tidak mengembalikan hasil.

Untuk menyelesaikan isu ini, anda perlu memasukkan argumen ORDER BY terus ke dalam pernyataan SQL, seperti yang ditunjukkan dalam kod berikut:

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

Adalah penting untuk memastikan setiap pengendali dan pengecam dikodkan keras dan tidak dijana secara dinamik. Pendekatan ini membantu mencegah serangan suntikan.

Cara lain untuk meningkatkan keselamatan kod anda ialah menggunakan fungsi pembantu senarai putih, seperti yang ditunjukkan di bawah:

function white_list($value, $allowed_values, $error_message) {
    if (!in_array($value, $allowed_values)) {
        throw new Exception($error_message);
    } else {
        return $value;
    }
}

Dengan menggunakan fungsi ini, anda boleh menyemak sama ada nilai yang dimasukkan wujud dalam senarai nilai sah yang dipratentukan dan menimbulkan ralat jika tidak wujud.

Menggunakan ini pendekatan, pernyataan anda yang disediakan akan selamat dan mampu mengendalikan parameter ORDER BY dengan betul:

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan ORDER BY Parameter dengan Penyata Disediakan PDO dengan Selamat?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!