在准备好的 PDO 语句中设置 ORDER BY 参数
尝试使用准备好的 PDO 在 SQL 查询的 ORDER BY 部分中使用参数时语句,重要的是要注意 PDO 不支持直接绑定列名或排序方向作为参数。当未应用所需的排序顺序时,这可能会导致混乱。
要解决此问题,您必须将 ORDER BY 子句直接插入 SQL 查询中,如下例所示:
转义注意事项
确保 ORDER 中的每个运算符和标识符都至关重要BY 子句被硬编码在脚本中以防止安全漏洞。切勿将用户提供的输入直接插入到 ORDER BY 子句中。
白名单辅助函数
要简化验证和白名单过程,您可以创建一个辅助函数:
此函数根据允许的选项列表检查该值,如果该值会引发错误无效。
用法
使用白名单辅助函数,您可以为 ORDER BY 子句创建安全的预准备语句:
通过遵循这些准则,您可以在准备好的 PDO 语句中正确设置 ORDER BY 参数,同时保持安全性。
以上是如何在准备好的 PDO 语句中安全地使用 ORDER BY?的详细内容。更多信息请关注PHP中文网其他相关文章!
