PDO 準備語句:設定ORDER BY 參數
在PHP 中使用PDO 準備語句處理SQL 語句時,在ORDER BY 設定參數條款可能很棘手。與其他可以使用bindParam()等方法綁定的參數不同,PDO沒有提供直接為ORDER BY指定參數的方法。
要解決這個問題,需要直接插入順序和方向值到 SQL 字串中。但是,如果使用者輸入未正確清理,此方法有可能引入 SQL 注入漏洞。
謹慎方法
最安全的方法是對 ORDER BY 進行硬編碼將條件寫入 SQL字串,如下所示:
$order = 'columnName';
$direction = 'ASC';
$query = "SELECT field from table WHERE column = :my_param ORDER BY $order $direction";
$stmt = $db->prepare($query);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->execute();自訂助理函數
另一種方法是建立一個自訂輔助函數,將ORDER BY 參數的可接受值列入白名單。這可確保僅使用有效值並降低 SQL 注入的風險。
function white_list($value, array $whitelist, $errorMessage)
{
if (!in_array($value, $whitelist)) {
throw new Exception($errorMessage);
}
return $value;
}
$order = white_list($_GET['sort'], ["name", "price", "qty"], "Invalid field name");
$direction = white_list($_GET['direction'], ["ASC", "DESC"], "Invalid ORDER BY direction");
$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);此輔助函數驗證 ORDER BY 參數的有效性,並在偵測到無效值時引發異常。
以上是如何在 PHP 中安全地將 ORDER BY 參數與 PDO 準備語句一起使用?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
