PHP PDO + Prepare语句

Question

$sql='SELECT phrase,english FROM static_site_language WHERE page=?;';
$pds=$database->pdo->prepare($sql); $pds->execute(array($_POST['languagepage']));

上面的代码运行良好。但是，我需要在prepare语句中放入另一个变量。我尝试了以下方法，但似乎不起作用：

$sql='SELECT phrase,? FROM static_site_language WHERE page=?;';
$pds=$database->pdo->prepare($sql); $pds->execute(array($_POST['language'],$_POST['languagepage']));

我知道$_POST'language'只包含“$_POST”这个词。是否可以在select的这一部分中放置一个prepare变量？

thx

Answer 1

查询参数只能代替常量值，而不能代替列名。

所有列和表必须在准备查询时命名，您不能将选择列推迟到后续的执行步骤。

当您希望用户输入确定列名时，请使用白名单映射将用户输入限制为有效选择。映射数组的键是合法的用户输入。映射数组的值是要在SQL查询中使用的字符串，在本例中为列名。

$lang_col_map = array(
  "DEFAULT" => "english",
  "en"      => "english",
  "es"      => "spanish"
);
$lang_col = $lang_col_map[ $_POST["language"] ] ?: $lang_col_map[ "DEFAULT" ];

$sql='SELECT phrase,$lang_col FROM static_site_language WHERE page=?;';
$pds=$database->pdo->prepare($sql); 
$pds->execute(array($_POST['languagepage']));

这样，您就可以确保只有$lang_col_map中的值可以成为SQL查询的一部分，并且如果用户试图在http请求中发送任何棘手的内容，它都会被忽略，因为它与该映射的任何键都不匹配。因此查询是安全的，不会受到SQL注入的影响。

有关详细信息，请参阅my presentation SQL Injection Myths and Fallacies。

Answer 2

预准备语句仅支持数据库支持的值的参数。

在你的第二个陈述中，第一个"?“列名的占位符，而不是值。

您必须改用动态SQL语句。为此，您必须防止SQL注入。

$language_authorized = array('english', 'french', 'spanish');
$language = $_POST['language'];
if (in_array($language_authorized, $language)) {
  $sql='SELECT phrase,'.$language.' FROM static_site_language WHERE page=?;';
  $pds = $database->pdo->prepare($sql);
  $pds->execute(array($_POST['languagepage']));
}