Php PDO参数根本不起作用
我正在浏览一些代码,并将其中的数据库部分更改为使用PDO。到目前为止,除了我准备好的声明中的参数外,一切正常。出于某种原因,下面的代码根本不起作用。两个$u GET变量基本上用于特定页面上的排序目的。查询本身在不使用参数的情况下可以正常工作,如果我手动将“orderbyiddesc”放在末尾,也可以正常工作。我似乎无法让它与可变参数一起工作。代码如下:Php PDO参数根本不起作用,php,mysql,sql,pdo,Php,Mysql,Sql,Pdo,我正在浏览一些代码,并将其中的数据库部分更改为使用PDO。到目前为止,除了我准备好的声明中的参数外,一切正常。出于某种原因,下面的代码根本不起作用。两个$u GET变量基本上用于特定页面上的排序目的。查询本身在不使用参数的情况下可以正常工作,如果我手动将“orderbyiddesc”放在末尾,也可以正常工作。我似乎无法让它与可变参数一起工作。代码如下: $sort = $_GET['sort']; $order = $_GET['order']; $statement = $db->pre
$sort = $_GET['sort'];
$order = $_GET['order'];
$statement = $db->prepare('SELECT uid, id, fname, lname, ext, uname
, email, access, created, modified, last_login, enabled
FROM users
ORDER BY :col :or');
$statement->bindParam(':col', $sort);
$statement->bindParam(':or', $order);
$statement->execute();
$num = $statement->rowCount();
感谢当将参数作为参数传递给
ORDER BYORDER BY `fname`
ASCDESC下面是我过去如何使用允许的可排序列的映射来完成的
$orderCols = array(
'firstName' => 'fname',
'lastName' => 'lname'
);
$sort = isset($_GET['sort'], $orderCols[$_GET['sort']])
? $orderCols[$_GET['sort']
: 'uid'; // some sane default
$order = isset($_GET['order']) && $_GET['order'] == 'DESC'
? 'DESC' : 'ASC';
$query = sprintf('SELECT uid, id, fname, lname, ext, uname, email, access, created, modified, last_login, enabled FROM users ORDER BY `%s` %s',
$sort, $order);
$statement = $db->prepare($query);
使用参数作为伪关键字显然是行不通的
这就是为什么使用参数可以防止SQL注入攻击的部分原因 当然,因为可以操作字符串,所以可以在其中插入'DESC'/'ASC',重新打开整个SQL注入孔 因此:col将而不是被接受为字段。至于$order,我推荐代码如下 伪代码(不是真正的php)
如果大写($order)'DESC',那么$order='ASC';
$query='选择…'+$秩序;
现在,您(可能)又回到了处理查询字符串的行列中,您也回到了SQL注入领域,所以在操作时要格外小心。漂亮的PDO代码,execute()不是只针对没有结果集的SQL语句吗?(更新/插入/删除)@Johan
PDOStatement::execute()ASCif uppercase($order) <> 'DESC' then $order = 'ASC';
$query = 'select ... '+ $order;