php - mySQL Order By 占位符

Question

我正在尝试调用存储过程以返回一组按特定顺序(排序方式)排序的结果，这是我的存储过程:

DELIMITER $$

CREATE DEFINER=`root`@`localhost` PROCEDURE `getReadReportsPagingFinal`(startIndex INTEGER, pageSize INTEGER, sortingCol VARCHAR(255), sortingDir VARCHAR(255))
BEGIN

    SET @Query = "SELECT * FROM reports 
    WHERE 'new'=0
    ORDER BY ?, ?
    LIMIT ?, ?";


    SET @a = sortingCol;
    SET @b = sortingDir;
    SET @c = startIndex;
    SET @d = pageSize;

    PREPARE stmt1 FROM @Query;
    EXECUTE stmt1 USING @a, @b, @c, @d;
    DEALLOCATE PREPARE stmt1;
END

我知道占位符不能用于列名:

With most drivers, placeholders can't be used for any element of a statement that would prevent the database server from validating the statement and creating a query execution plan for it.

所以我尝试将 sortingCol 和 sortingDir 连接到查询中:

@Query = CONCAT(@Query, sortingCol);

这给出了语法错误。

有更好的方法吗？当前参数通过调用存储过程的 PHP 脚本传递。

Answer 1

您不能将列放在 LIMIT 子句之后的末尾。您排序的列必须在 ORDER BY 子句中。但你是对的，你不能为列名使用参数。

SET @Query = CONCAT("SELECT * FROM reports 
  WHERE 'new'=0
  ORDER BY ", sortingCol, " ", sortingDir,
" LIMIT ?, ?");

注意在这些字符串片段中的 SQL 关键字周围放置空格。您不想以 ORDER BY column1 ASCLIMIT 结尾吗？ ？。

另请记住，在准备查询之前将过程参数插入到查询中可能会面临 SQL 注入(inject)的风险。如果有人诱使您的应用程序传递 sortingCol 怎么办:1 UNION SELECT * FROM information_schema.columns --

在将这些字符串连接到您的 SQL 之前，您需要采取措施将这些字符串列入白名单。当您处理动态列名或 SQL 关键字时，这是防止 SQL 注入(inject)漏洞的最佳方法。