帶有準備好的PDO 語句的ORDER BY 語句中參數的可用性
在SQL 語句中,在ORDER BY 中使用參數時會遇到困難條款。儘管將參數綁定到 :order 和 :direction 佔位符,但該語句執行時沒有輸出。
與正常運作的 :my_param 佔位符不同,:order 和 :direction 佔位符需要直接插入 SQL 中。您可以如下執行此操作:
$order = 'columnName';
$direction = 'ASC';
$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");沒有 PDO::PARAM_COLUMN_NAME 常數或類似替代品。需要注意的是,ORDER BY 子句中的所有運算子和識別符都必須進行硬編碼。例如:
$orders = array("name", "price", "qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";白名單(如下所示)是一種防止無效輸入的替代方法:
$order = white_list($order, ["name", "price", "qty"], "Invalid field name"); $direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction"); $sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction"; $stmt = $db->prepare($sql); $stmt->execute([$is_live]);
這可確保正確標記和處理不正確的值,從而增強安全性您的申請。
以上是為什麼我無法在準備好的 PDO 語句的 ORDER BY 子句中使用參數?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
