PDO命令拋出錯誤

Question

我很困惑。

這是有效的：

$sql = 'SELECT * FROM TABLE ORDER BY DATEOFUPLOAD DESC'; 
$stmt = $conn->prepare($sql); 
$stmt->execute();

這不是：

$sql = 'SELECT * FROM TABLE ORDER BY DATEOFUPLOAD :orderbydateofupload'; 
$stmt = $conn->prepare($sql); 
$stmt->bindValue(':orderbydateofupload', $orderbydateofupload, PDO::PARAM_STR);  
$stmt->execute();

我已經通過$orderbydateofupload='DESC'檢查並設置$orderbydateofupload ，所以它絕對不是null。

我在最后一行收到錯誤（ $stmt->execute() ）：

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''DESC'' at line 1' in /home/gh6534/public_html/query.php:77 Stack trace: #0 /home/gh6534/public_html/query.php(77): PDOStatement->execute() #1 {main} thrown in /home/gh6534/public_html/query.php on line 77

我也嘗試使用列作為參數：

$sort = 'DATEOFUPLOAD';
$sql = 'SELECT * FROM TABLE ORDER BY :sort :orderbydateofupload'; 
$stmt = $conn->prepare($sql); 
$stmt->bindParam(':sort', $sort);
$stmt->bindParam(':orderbydateofupload', $orderbydateofupload);
$stmt->execute(); 

這不會引發異常，但會查詢所有項目而不進行任何排序。 怎么了？

Answer 1

嘗試這個

$orderbydateofupload = 'ASC';  //Or DESC

if($orderbydateofupload == 'DESC')
    $sql = 'SELECT * FROM TABLE ORDER BY DATEOFUPLOAD DESC'; 
else
    $sql = 'SELECT * FROM TABLE'

Answer 2

您不能將標識符與PDO綁定，因為預准備語句只能用於數據 ，而不能用於標識符或語法關鍵字。
因此，您必須使用白名單 ，如我之前發布的示例所示

這就是為什么在我自己的類中我使用標識符占位符，它使整個代碼成一行（當你需要按字段設置順序時）：

$data = $db->getAll('SELECT * FROM TABLE ORDER BY ?n',$sort); 

但使用關鍵字白名單是唯一的選擇：

$order = $db->whiteList($_GET['order'],array('ASC','DESC'),'ASC');
$data  = $db->getAll("SELECT * FROM table ORDER BY ?n ?p", $sort, $order);