PHP Lang
  1. PHP Lang
  3. SQL ORDER BY с использованием подготовленных операторов
Intereting Posts
Обнаружение URL-адреса с помощью preg_match? без http: // в строке эквивалент cURL в JAVA Обработка на стороне клиента или на стороне сервера? Обработка ошибок Mysql / Try catch Почему я получаю исключение JSON, пытающееся загрузить данные из URL-адреса хоста? Кодирование строки как UTF-8 с спецификацией в PHP strtotime с разными языками? Вызов неопределенной функции mysql_connect? Как загрузить файл PHP в переменную? Неограниченные аргументы для функции PHP? Как искать массив с первым 3 символом его значения в php Возможности доступа api к Google Maps для iphone? (обработка javascript без UIWebView) Цикл над DOMDocument Непрерывная mp3-игра на веб-сайте? Отправка формы методом POST и полимерным железом?

SQL ORDER BY с использованием подготовленных операторов

Я пробовал все различные варианты этого кода и не могу заставить его работать, может ли кто-нибудь указать мне в правильном направлении? 

if(isset($_GET['s']) And isset($_GET['o'])) { if(strip_tags(htmlspecialchars($_GET['s'])) === 's') $sortingby = 'sender'; if(strip_tags(htmlspecialchars($_GET['s'])) === 't') $sortingby = 'title'; if(strip_tags(htmlspecialchars($_GET['s'])) === 'd') $sortingby = 'timestamp'; if(strip_tags(htmlspecialchars($_GET['o'])) === 'a') $orderingby = 'ASC'; if(strip_tags(htmlspecialchars($_GET['o'])) === 'd') $orderingby = 'DESC'; echo '<br />'; echo $sortingby; echo $orderingby; } $stmt = $pdo->prepare("SELECT * FROM messages WHERE receiver = :id AND rhide = 0 ORDER BY :sortingby :orderingby "); $stmt->execute(array( ':id'=>$id, ':sortingby'=>$sortingby, ':orderingby'=>$orderingby )); $messages = $stmt->fetchAll(PDO::FETCH_ASSOC);

Переменные присваиваются правильно, когда я их выдаю, просто кажется, что мой контент игнорируется

Посмотрите на эти ссылки:

Mysqli Подготовить заявления + Binding Order BY

В качестве ссылки php.net вы обнаружили состояния, вы не можете использовать переменные связывания для идентификаторов. Вам понадобится обходной путь. mysql_real_escape_char , безусловно, будет одним из способов.

… а также …

Как использовать подготовленный оператор pdo для порядка и ограничений?

По этой причине поля ORDER BY должны быть частью строки SQL, переданной в метод prepare() , а не привязываться к запросу до execute() .

================================================== ========

ДОПОЛНЕНИЕ:

Поскольку вы уже эффективно проверяете имена столбцов и предложение «ASC / DESC» перед вашей «подготовкой», нет никакой опасности SQL Injection.

Я бы просто построил строку: 

 $sql = "SELECT * FROM messages WHERE " . "receiver = :id AND rhide = 0 " . "ORDER BY " . $sortingby . " " . $orderingby; $stmt = $pdo->prepare($sql); $stmt->bindParam(':id', $id, PDO::PARAM_INT); $stmt->execute(); $messages = $stmt->fetchAll(PDO::FETCH_ASSOC);

Только данные могут быть связаны с заполнителями, имена столбцов или таблиц не могут быть связаны.