【发布时间】:2012-11-09 16:39:04
【问题描述】:
我正在使用 PDO,并且有用户可以在搜索结果中选择的选项。一些示例是排序、结果数、页码等。我尝试使用准备好的语句来验证这些数据以防止 SQL 注入攻击,但变量从未传递到查询中。
我做错了什么?结果的排序依据和数量是 SELECT 菜单,页码是一个文本输入表单,他们可以在其中输入数字。
$query = "SELECT SQL_CALC_FOUND_ROWS * FROM people ORDER BY id :sortBy LIMIT $start, :total";
$result = $conn->prepare($query);
$result->bindValue(":sortBy", $sortBy, PDO::PARAM_STR);
$result->bindValue(":total", $total, PDO::PARAM_INT);
【问题讨论】:
-
如何确定“变量从未传递到查询中”?
-
你为什么要绑定一些,而不是全部?即
$start. -
当我删除 bindValues 并在查询中输入 ASC 和 100 代替 :sortBy 和 :totalResults 时,它可以工作。
-
@Jason McCreary - 我这样做是因为 $start 是我在 PHP 代码中设置的变量,而另外两个是用户通过前端输入的值。
-
我仍然鼓励您绑定所有动态参数。考虑未来。也许有一天
$start是一个传递值。
标签: php mysql pdo prepared-statement