준비된 PDO 문의 ORDER BY 절에 매개변수를 사용할 수 없는 이유는 무엇입니까?-PHP 튜토리얼-php.cn

준비된 PDO 문의 ORDER BY 절에 매개변수를 사용할 수 없는 이유는 무엇입니까?

Mary-Kate Olsen

풀어 주다： 2024-12-17 16:54:15

원래의

592명이 탐색했습니다.

Why Can't I Use Parameters in the ORDER BY Clause of My Prepared PDO Statement?

준비된 PDO 문에서 ORDER BY 절의 매개변수 사용성

SQL 문에서 ORDER BY 내에서 매개변수를 사용할 때 어려움에 직면합니다. 절. 매개변수를 :order 및 :direction 자리 표시자에 바인딩하더라도 명령문은 출력 없이 실행됩니다.

제대로 작동하는 :my_param 자리 표시자와 달리 :order 및 :direction 자리 표시자는 SQL에 직접 삽입해야 합니다. 다음과 같이 수행할 수 있습니다.

$order = 'columnName';
$direction = 'ASC';

$stmt = $db->prepare("SELECT * from table WHERE column = :my_param ORDER BY $order $direction");

로그인 후 복사

PDO::PARAM_COLUMN_NAME 상수 또는 유사한 대체물이 없습니다. 주의할 점은 ORDER BY 절의 모든 연산자와 식별자를 하드코딩해야 한다는 것입니다. 예를 들면 다음과 같습니다.

$orders = array("name", "price", "qty");
$key = array_search($_GET['sort'], $orders);
$order = $orders[$key];
$query = "SELECT * from table WHERE is_live = :is_live ORDER BY $order";

로그인 후 복사

아래에 표시된 화이트리스트는 잘못된 입력을 방지하는 대체 접근 방식입니다.

$order = white_list($order, ["name", "price", "qty"], "Invalid field name");
$direction = white_list($direction, ["ASC", "DESC"], "Invalid ORDER BY direction");

$sql = "SELECT field from table WHERE column = ? ORDER BY $order $direction";
$stmt = $db->prepare($sql);
$stmt->execute([$is_live]);

로그인 후 복사

이렇게 하면 잘못된 값이 표시되고 적절하게 처리되어 보안이 강화됩니다. 귀하의 신청서를 확인하세요.

위 내용은 준비된 PDO 문의 ORDER BY 절에 매개변수를 사용할 수 없는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!