我正在尝试调用存储过程以返回一组按特定顺序(排序方式)排序的结果,这是我的存储过程:
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `getReadReportsPagingFinal`(startIndex INTEGER, pageSize INTEGER, sortingCol VARCHAR(255), sortingDir VARCHAR(255))
BEGIN
SET @Query = "SELECT * FROM reports
WHERE 'new'=0
ORDER BY ?, ?
LIMIT ?, ?";
SET @a = sortingCol;
SET @b = sortingDir;
SET @c = startIndex;
SET @d = pageSize;
PREPARE stmt1 FROM @Query;
EXECUTE stmt1 USING @a, @b, @c, @d;
DEALLOCATE PREPARE stmt1;
END
我知道占位符不能用于列名:
With most drivers, placeholders can't be used for any element of a statement that would prevent the database server from validating the statement and creating a query execution plan for it.
所以我尝试将 sortingCol 和 sortingDir 连接到查询中:
@Query = CONCAT(@Query, sortingCol);
这给出了语法错误。
有更好的方法吗?当前参数通过调用存储过程的 PHP 脚本传递。
最佳答案
您不能将列放在 LIMIT 子句之后的末尾。您排序的列必须在 ORDER BY 子句中。但你是对的,你不能为列名使用参数。
SET @Query = CONCAT("SELECT * FROM reports
WHERE 'new'=0
ORDER BY ", sortingCol, " ", sortingDir,
" LIMIT ?, ?");
注意在这些字符串片段中的 SQL 关键字周围放置空格。您不想以 ORDER BY column1 ASCLIMIT 结尾吗? ?。
另请记住,在准备查询之前将过程参数插入到查询中可能会面临 SQL 注入(inject)的风险。如果有人诱使您的应用程序传递 sortingCol 怎么办:1 UNION SELECT * FROM information_schema.columns --
在将这些字符串连接到您的 SQL 之前,您需要采取措施将这些字符串列入白名单。当您处理动态列名或 SQL 关键字时,这是防止 SQL 注入(inject)漏洞的最佳方法。
关于php - mySQL Order By 占位符,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24397447/