如何使用pdo的准备好的语句来排序和限制子句？

Question

我想用事先准备好的声明中传入的参数对于ORDER BY和LIMIT条款，比如：

$sql = 'SELECT * FROM table ORDER BY :sort :dir LIMIT :start, :results'; 
$stmt = $dbh->prepare($sql); 
$stmt->execute(array(
    'sort' => $_GET['sort'], 
    'dir' => $_GET['dir'], 
    'start' => $_GET['start'], 
    'results' => $_GET['results'], 
    ) 
    ); 

但$stmt->fetchAll(PDO::FETCH_ASSOC);回报什么。

有人能指出我在做什么错事吗？可以做到吗？如果不是，我应该参考哪些参数可以使用的完整的子句列表？

Answer 1

您不能绑定参数来指定语言关键字或字段名称 - 它必须替换文字。因此，我认为你的极限值没问题，但你的订单不是。手动替换字符串中的排序和目录将是最好的。逃避它们，但不要使用DB工具来这样做，因为它们不是字符串文字。基本上确保不存在特殊字符。

Answer 2

使用后：

$dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 

我得到的消息：

未捕获的异常 'PDOException' 与 消息“SQLSTATE [42000]：语法错误 或访问冲突1064您有一个您的SQL语法中有 错误;检查对应于你的MySQL 服务器版本正确的语法 利用近“的 手册” 0' ，‘10’”在1号线

所以，当您使用执行阵列，它考虑您输入的字符串，它不是限制好主意

$dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 
$sql = "SELECT * FROM table ORDER BY :sort :dir LIMIT :start, :results"; 
$stmt = $dbh->prepare($sql); 
$stmt->bindParam(':start', $_GET['start'], PDO::PARAM_INT); 
$stmt->bindParam(':results', $_GET['results'], PDO::PARAM_INT); 
$stmt->bindParam(':sort', $_GET['sort']); 
$stmt->bindParam(':dir', $_GET['dir']); 
$stmt->execute(); 

$data = $stmt->fetchAll(PDO::FETCH_ASSOC); 
print_r($data); 

Answer 3

预处理语句让DBMS实际执行查询为您提供的参数之前为您的查询的查询计划。更改ORDER BY的字段需要一个不同的查询计划，因为以不同的方式排序数据会严重影响DBMS选择获取数据的方式：例如，某些索引可能在一种情况下有帮助，但在另一种情况下可能不会。因此，ORDER BY字段应该形成传递给prepare()方法的SQL字符串的一部分，而不是绑定到​​之前的查询。

至于LIMIT子句，它的参数是否会影响查询计划并不清楚，所以这些可能会在稍后被绑定，可能取决于您的DBMS。根据this SO answer应该允许。

Answer 4

虽然这个问题还比较陈旧，但我认为它可能还是有趣的。对我来说，它的工作后，我

1. 使用bindParam结合PDO::PARAM_INT像建议之前
2. 通过调用intval()

代码的相关部分则看起来像转换的变量的内容为整数值这个：

$stmt->bindParam(':start', intval($_GET['start']), PDO::PARAM_INT); 
    $stmt->bindParam(':number', intval($_GET['number']), PDO::PARAM_INT); 

没有使用intval()我也收到了错误语法错误或访问冲突：1064您的SQL语法中有错误;检查对应于你的MySQL服务器版本正确的语法使用近“” 0' ，10' 的线需要1个