PDO는

Question

은 첫 번째 질문 : 보인다 우리가 문제를 가지고있다 PDO에 mySQLi에서 코드를 마이그레이션 한 후

가 내 문제가 PDO가 추가되어

것을 요청하는 시간 독서 년 후 MySQL의 쿼리에 아포스트로피를 추가 쿼리에 아포스트로피.

$sort = $_GET['sort']; << table column name (mySQL VARCHAR only columns) 

.... 
$query = 'SELECT * FROM table WHERE xxx > 0'; 
$query .= ' ORDER BY :sort ASC ;'; 

$qry_result= $db->prepare($query); 
$qry_result->execute(array(':sort'=>$sort)); 

mysqli 버전이 순조롭게하지만 지금은 (MySQL의 로그 파일)을 조회 다음과 같습니다 :

PHP 코드를 그런 식으로가는

SELECT * FROM table where xxx > 0 ORDER BY 'SORT_VAR_VALUE' ASC; 
             ^2 problems^

그래서 테이블 정렬 순서로 정렬되지 않습니다 (mySQL 관점에서) 잘못된 것입니다.

phpinfo()는 "magic"이나 "quotes"btw에서 검색 한 결과가 없습니다.

어떤 아이디어 ??

Answer 1

PDO 문의 자리 표시자는 값 전용입니다. 실제 SQL을 조회에 추가하려면 다른 f}으로 수행해야합니다.

먼저 $sort을 삭제하고 쿼리에서 백틱으로 묶어야합니다.

$query = "SELECT * FROM table WHERE xxx > 0 ORDER BY `$sort` ASC"; 

또는 당신과 같이 preg_replace로 대체 할 수 :

$sort = preg_replace('/^[a-zA-Z0-9_]/', '', $sort); 

그런 다음 쿼리 문자열을 인용 더블 수 있으며, PHP는 그것으로 $sort을 대체합니다 당신을 위해 값의

$query = 'SELECT * FROM table WHERE xxx > 0 ORDER BY `:sort` ASC'; 
$query = preg_replace('/:sort/', $sort, $query, 1); 

preg_replace의 결과를 다른 질문에 할당하면 쿼리를 다시 사용할 수 있으므로 preg_replace 메서드를 사용합니다. 원래 변수를 겹쳐 쓰는 대신 변수를 사용하십시오.

Answer 2

기본적으로 pdo는 값을 문자열로 바인딩합니다.

당신이 그것을 다음과 같은 방법을 수행 할 수 있습니다, 당신은 열이 실제로 유효한 이름인지 확인하고 쿼리에 추가 할 것입니다이 문제를 해결하려면, PDO와

function validName($string){ 
    return !preg_match("/[^a-zA-Z0-9\$_\.]/i", $string); 
} 

if(validName($sort)){ 
    $db->prepare("SELECT * FROM table where xxx > 0 ORDER BY $sort ASC"); 
} 

Answer 3

는 결합 할 수 없습니다 WHERE 문에 변수가있는 다른 것들. 따라서 주문한 열의 이름을 하드 코딩해야합니다. 자세한 설명은 How do I set ORDER BY params using prepared PDO statement? 또는 Can PHP PDO Statements accept the table or column name as parameter?을 참조하십시오.