PDO 준비 문을 사용한 정렬된 쿼리
데이터베이스 상호 작용에서 쿼리 결과의 정렬은 일반적인 작업입니다. 매개변수와 함께 PDO 준비된 문을 사용하면 순서 매개변수를 안전하게 삽입할 수 있습니다. 그러나 ORDER BY 절에 매개변수를 사용하려고 하면 문제가 발생할 수 있습니다.
다음 쿼리는 WHERE 절에 대한 매개변수 사용을 보여주지만 순서를 적용하지 못합니다.
$order = 'columnName';
$direction = 'ASC';
$stmt = $db->prepare("SELECT field from table WHERE column = :my_param ORDER BY :order :direction");
$stmt->bindParam(':my_param', $is_live, PDO::PARAM_STR);
$stmt->bindParam(':order', $order, PDO::PARAM_STR);
$stmt->bindParam(':direction', $direction, PDO::PARAM_STR);
$stmt->execute();매개변수 :my_param, :order 및 :direction은 매개변수 표시자를 사용하여 바인딩됩니다. 그러나 주문 절이 올바르게 작동하지 않습니다. ORDER BY 절의 매개변수에 대한 이스케이프 메커니즘을 기대할 수 있지만 이는 존재하지 않습니다.
대신 적절한 예방 조치를 통해 SQL 문에 순서 매개변수를 직접 삽입해야 합니다.
$order = 'columnName';
$direction = 'ASC';
$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");보안을 보장하려면 매개변수 순서에 대한 값을 화이트리스트에 추가하는 것이 좋습니다. 다음 코드 조각은 배열을 사용하는 화이트리스트 메커니즘을 보여줍니다.
$orders = array("name","price","qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";이 접근 방식을 사용하면 사전 정의되고 안전한 값만 주문에 사용할 수 있으므로 잠재적인 보안 취약성을 방지할 수 있습니다.
위 내용은 PDO 준비 문을 사용하여 쿼리 결과를 안전하게 정렬하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
