PDO 準備語句可以綁定識別字或語法關鍵字嗎?
嘗試使用表示表格、欄位的變數建構動態查詢/column 以及要搜尋的值,在使用 PDO 準備好的語句時可能會遇到意想不到的困難。具體來說,使用bindParam() 或bindValue() 綁定這些變數可能會導致結果集為空。
要深入研究問題的癥結,了解 PDO 佔位符被指定用於表示資料文字至關重要。因此,嘗試將它們用作標識符(如表名或字段名)或語法關鍵字(例如“LIKE”)可能會導致錯誤的行為。
具體來說,PDO 不提供對綁定識別碼的固有支援. 這意味著開發人員必須承擔自己處理這些識別碼的責任。為了確保正確執行,需要遵守嚴格的規則:
綁定識別碼規則:
這些格式規則可以防止語法錯誤和 SQL 注入漏洞。
綁定語法關鍵字的規則:
範例:
考慮以下程式碼片段,它遵循上述規則:
$allowed = array("name", "price", "qty");
$key = array_search($_GET['field'], $allowed);
$field = $allowed[$key];
$query = "SELECT $field FROM t"; // Value is safe總之,雖然PDO 準備好的語句在綁定資料文字方面表現出色,但它們缺乏對綁定標識符或語法關鍵字的支援。透過認真遵循概述的規則,開發人員可以確保安全、準確地執行利用這些關鍵元件的動態查詢。
以上是PDO 準備語句可以綁定表名和列名或 SQL 關鍵字嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
