恐らく、
? を使わずに文字列の結合をする
または kaji様の回答にあるように ORM を使うしかありません。
Laravel のマニュアルによると Laravel は内部的に PDO を使用しているようですが、
https://laravel.com/docs/5.2/queries
Note: The Laravel query builder uses PDO parameter
PDO ではパラメータマーカー(?
のこと)で識別子(テーブル名・カラム名などのこと)を指定することはできないからです。
http://php.net/manual/ja/pdo.prepare.php
パラメータマーカーが表せるのは、データリテラルだけです。 リテラルの一部やキーワード、識別子、その他のクエリのパーツをパラメータにバインドすることはできません。
それとは別に、API で指定されたパラメータを直接 ORDER BY 句に適用することには問題がある、と考えます。
例え適切にエスケープできたとしても、存在しないカラム名を指定されると SQL 文がシンタックスエラーになるからです。
代替案として、以下のように ORDER BY 句に指定可能な文字列をホワイトリスト形式で持っておき、それに一致したものだけをクエリに含める、というのはいかがでしょうか?
php
1$app->get('/data/ranking/{sortType}', function($sortType) {
2
3 // order by 句に指定可能な文字列のリスト
4 $allowOrderBy = [
5 'attack',
6 'defence',
7 ...
8 ];
9
10 if (in_array($sortType, $allowOrderBy)) {
11 $orderBy = $sortType;
12 } else {
13 $orderBy = 'id'; // 一致しない場合はデフォルトの並び順
14 }
15
16 $results = DB::select('SELECT ... FROM ... ORDER BY ' . $orderBy);
17
18 echo json_encode(results);
19}
これならインジェクション対策とシンタックスエラー防止を同時に実現できますので。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/08/15 09:54
2016/08/15 10:15