Laravelで動的にOrder byしたい。

$app->get('/data/ranking/{sortType}', function($sortType) {
  $results = DB::select('SELECT ... FROM ... ORDER BY ?',[$sortType]);

  echo json_encode(results);
}

LaravelでランキングのAPIサーバーを作っています。

攻撃力順

/data/ranking/attack

防御力順

/data/ranking/defence

とリクエストされるとそれぞれ、

ORDER BY attack DESC
ORDER BY defence DESC

としたいです。

しかし、?で自動的にパースしてもらえるはずなのですが、
うまく動作しません。

以下の方法だとうまくいきました。

? を使わずに文字列の結合をすると動作する

（適切な処理をしてないのでセキュリティ的にまずいですが）

どのようにすればよいでしょうか。

行動規範の内容に同意します

回答2件

ベストアンサー

恐らく、

? を使わずに文字列の結合をする

または kaji様の回答にあるように ORM を使うしかありません。

Laravel のマニュアルによると Laravel は内部的に PDO を使用しているようですが、
https://laravel.com/docs/5.2/queries

Note: The Laravel query builder uses PDO parameter

PDO ではパラメータマーカー（?のこと）で識別子（テーブル名・カラム名などのこと）を指定することはできないからです。
http://php.net/manual/ja/pdo.prepare.php

パラメータマーカーが表せるのは、データリテラルだけです。リテラルの一部やキーワード、識別子、その他のクエリのパーツをパラメータにバインドすることはできません。

それとは別に、API で指定されたパラメータを直接 ORDER BY 句に適用することには問題がある、と考えます。

例え適切にエスケープできたとしても、存在しないカラム名を指定されると SQL 文がシンタックスエラーになるからです。

代替案として、以下のように ORDER BY 句に指定可能な文字列をホワイトリスト形式で持っておき、それに一致したものだけをクエリに含める、というのはいかがでしょうか？

php
1$app->get('/data/ranking/{sortType}', function($sortType) {
2
3  // order by 句に指定可能な文字列のリスト
4  $allowOrderBy = [
5    'attack',
6    'defence',
7    ...
8   ];
9
10  if (in_array($sortType, $allowOrderBy)) {
11    $orderBy = $sortType;
12  } else {
13    $orderBy = 'id'; // 一致しない場合はデフォルトの並び順
14  }
15
16  $results = DB::select('SELECT ... FROM ... ORDER BY ' . $orderBy);
17
18  echo json_encode(results);
19}