PDO 准备语句:设置 ORDER BY 参数
在 PHP 中使用 PDO 准备语句处理 SQL 语句时,在 ORDER BY 中设置参数条款可能很棘手。与其他可以使用bindParam()等方法绑定的参数不同,PDO没有提供直接为ORDER BY指定参数的方法。
要解决这个问题,需要直接插入顺序和方向值到 SQL 字符串中。但是,如果用户输入未正确清理,此方法有可能引入 SQL 注入漏洞。
谨慎方法
最安全的方法是对 ORDER BY 进行硬编码将条件写入 SQL 字符串,如下所示:
$order = 'columnName';
$direction = 'ASC';
$query = "SELECT field from table WHERE column = :my_param ORDER BY $order $direction";
$stmt = $db->prepare($query);
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->execute();自定义助手函数
另一种方法是创建一个自定义辅助函数,将 ORDER BY 参数的可接受值列入白名单。这可确保仅使用有效值并降低 SQL 注入的风险。
function white_list($value, array $whitelist, $errorMessage)
{
if (!in_array($value, $whitelist)) {
throw new Exception($errorMessage);
}
return $value;
}
$order = white_list($_GET['sort'], ["name", "price", "qty"], "Invalid field name");
$direction = white_list($_GET['direction'], ["ASC", "DESC"], "Invalid ORDER BY direction");
$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);此辅助函数验证 ORDER BY 参数的有效性,并在检测到无效值时引发异常。
以上是如何在 PHP 中安全地将 ORDER BY 参数与 PDO 准备语句一起使用?的详细内容。更多信息请关注PHP中文网其他相关文章!
