php输出sql的字段名,【php】PDO如何处理SQL语句中对字段名以及表名的转义

本文探讨了在PHP PDO中处理字段名含有SQL关键字的问题,介绍了转义方法的局限性,推荐了根据数据库驱动动态添加引号的解决方案,并强调了避免使用保留字的重要性。此外,提到了良好的设计实践对于新项目预防此类问题的价值。
摘要由CSDN通过智能技术生成

比如在一个数据表中有一个字段叫order,是专门用来做排序的,我的语句可能要这么写

$sth = $pdo->prepare('SELECT * FROM table_name ORDER BY order ASC');

$sth->execute();

但是因为order本身是一个关键字,那么在执行的时候就会报syntax错误,我知道在pdo里对字段可以用:column_name来动态绑定,它会自动处理引号等问题,也可以用$pdo->quote来转义字符串,但是对字段名和表名却没有方法来转义。

这种转义在不同的数据库系统里是一样的,比如在mysql里

SELECT * FROM table_name ORDER BY `order` ASC

而在sqlite里

SELECT * FROM table_name ORDER BY "order" ASC

有没有一种通用而又省事的办法来处理这个问题呢

更新

根据答案最后总结出一种通用的转义方法

$escapes = array(

'mysql' => array('`', '`'),

'mssql' => array('[', ']')

);

$driver = $db->getAttributes(PDO::ATTR_DRIVER_NAME);

$escape = isset($escapes[$driver]) ? $escapes[$driver] : array('"', '"');

$field = $escape[0] . $field . $escape[1];

回答

就我的经验来说,还真没有,遇到这种问题,也许你只能使用判断driver的方法来达到目的。你可以专门为此写个函数或者方法:

function add_quote_identifier($field, $driver = 'mysql')

{

switch ($driver) {

case 'mysql':

return sprintf('`%s`', $field);

case 'sqlite':

return sprintf('"%s"', $field);

default:

return $field;

}

}

然后再利用他来prepare statement:

$stmt = $dbh->prepare(sprintf('SELECT * FROM table_name ORDER BY %s ASC', add_quote_identifier('order')));

结合 @Chris Yue 的方案,可以从连接实例里直接获取是什么driver:

// ...

$driver = $db->getAttributes(PDO::ATTR_DRIVER_NAME);

echo $driver; //如mysql

但我觉得更有建设性意义的问题是:“如何避免使用保留字”,因为不应该给不合法标识的存在提供便利:

首先说个与技术无关的方面:某些时候,“居然用了保留字”会成为话柄,对吧?这类情形我见了不少。既然都知道不要用保留字了,何苦呢?

DBA或者其他习惯用命令行、写大量SQL的人,时不时还要留心字段转义,很闹心。

各人的工具集不会完全统一,总有这种那种的备份或者分析工具没有自动转义,可能会导致时间、精力的浪费。

RMDBS的版本(SQL标准还总改呢)谁也穷举不了,所以各大ORM经过讨论后都决定不做表名和字段的自动转义

避免保留字很简单:

表名加个前缀就完了,比如gfw_之类的,谁这么缺德会用这个作为保留字?

字段名应该经过一个设计文档来确认,或者至少大家有一个共同的地方去标注,在码很多代码之前就发现问题,并且逐渐积累成规范

Chris Yue的答案是见招拆招,可以帮助你解决历史遗留问题

modi的答案是良好的设计规则,可以帮你在新项目中规避此类问题,相比之下,我更赞同这个答案,历史项目中的这类字段和表名,最好能够通过重构消灭掉。

PDO不支持的特性还有很多,例如SELECT * FROM table_name WHERE id IN (:id_lists)就是不支持的,所以后来我在lotusphp中不使用PDO的预处理特性了,改用自己的PHP方法来把SQL语句完全当做字串模板处理,这有违预处理语句的初衷,是个无奈的选择。你既然选择了PHP与PDO,就最好使用它最可靠的特性,像modi说的那样,设计阶段就避开这些麻烦。

MySQL Prepared Statements其实是支持table名用占位符的,就像这样:

select * from @table;

set @table='sf_questions';

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值