为PDO使用MySQL查询选项准备好的语句

Question

我正在使用PDO并提供用户可以用其搜索结果选择的选项。一些示例是排序，结果数量，页码等。我尝试使用预准备语句来验证此数据以防止SQL注入攻击，但变量永远不会传递到查询中。

我在做什么错？结果的排序和数量是SELECT菜单，页码是文本输入表单，可以输入数字。

$query = "SELECT SQL_CALC_FOUND_ROWS * FROM people ORDER BY id :sortBy LIMIT $start, :total"; 
$result = $conn->prepare($query); 
$result->bindValue(":sortBy", $sortBy, PDO::PARAM_STR); 
$result->bindValue(":total", $total, PDO::PARAM_INT); 

Answer 1

绑定参数适用于要传递到查询中的实际数据。你不能绑定实际的控制命令 - MySQL会将它们解释为数据，而不是命令。

你可以做什么，而不是你的排序是检查你发送，并通过'ASC'或'DESC'到查询。您不会将用户提供的信息传递给查询，而是用于确定您要传入的一组预定义命令中的哪一个。没有注入风险。