如何使用PDOStatement::fetchColumn 避免SQL 注入問題？

gitbox 2025-08-25

什麼是PDOStatement::fetchColumn？

PDOStatement::fetchColumn是PDO 提供的一個方法，專門用於從查詢結果集中獲取一列數據。與其他的fetch方法不同， fetchColumn只會返回查詢結果的第一列，這使得它在處理某些查詢（例如SELECT COUNT(*)或查詢單個字段時）非常有用。

在執行SQL 查詢時，如果直接將用戶輸入嵌入到SQL 語句中，攻擊者就可能通過特製的輸入繞過查詢的原本意圖，導致SQL 注入問題。而使用PDO 提供的參數綁定機制，可以防止這種風險。

使用PDOStatement::fetchColumn 進行安全查詢

為了有效防止SQL 注入，正確使用PDO 的預處理語句（prepared statements）和參數綁定是關鍵。通過將用戶的輸入作為參數傳遞給SQL 查詢，而不是直接將其拼接進SQL 語句中，可以避免SQL 注入問題。

下面是一個例子，展示瞭如何使用PDOStatement::fetchColumn和預處理語句來執行安全查詢：

 <span><span><span class="hljs-meta">&lt;?php</span></span><span>
</span><span><span class="hljs-keyword">try</span></span><span> {
    </span><span><span class="hljs-comment">// 創建數據庫連接</span></span><span>
    </span><span><span class="hljs-variable">$pdo</span></span><span> = </span><span><span class="hljs-keyword">new</span></span><span> </span><span><span class="hljs-title function_ invoke__">PDO</span></span><span>(</span><span><span class="hljs-string">'mysql:host=localhost;dbname=testdb'</span></span><span>, </span><span><span class="hljs-string">'username'</span></span><span>, </span><span><span class="hljs-string">'password'</span></span><span>);
    </span><span><span class="hljs-variable">$pdo</span></span><span>-&gt;</span><span><span class="hljs-title function_ invoke__">setAttribute</span></span><span>(PDO::</span><span><span class="hljs-variable constant_">ATTR_ERRMODE</span></span><span>, PDO::</span><span><span class="hljs-variable constant_">ERRMODE_EXCEPTION</span></span><span>);

    </span><span><span class="hljs-comment">// 用戶輸入</span></span><span>
    </span><span><span class="hljs-variable">$username</span></span><span> = </span><span><span class="hljs-variable">$_GET</span></span><span>[</span><span><span class="hljs-string">'username'</span></span><span>];

    </span><span><span class="hljs-comment">// 使用預處理語句，綁定參數</span></span><span>
    </span><span><span class="hljs-variable">$stmt</span></span><span> = </span><span><span class="hljs-variable">$pdo</span></span><span>-&gt;</span><span><span class="hljs-title function_ invoke__">prepare</span></span><span>(</span><span><span class="hljs-string">"SELECT COUNT(*) FROM users WHERE username = :username"</span></span><span>);
    </span><span><span class="hljs-variable">$stmt</span></span><span>-&gt;</span><span><span class="hljs-title function_ invoke__">bindParam</span></span><span>(</span><span><span class="hljs-string">':username'</span></span><span>, </span><span><span class="hljs-variable">$username</span></span><span>, PDO::</span><span><span class="hljs-variable constant_">PARAM_STR</span></span><span>);

    </span><span><span class="hljs-comment">// 執行查詢</span></span><span>
    </span><span><span class="hljs-variable">$stmt</span></span><span>-&gt;</span><span><span class="hljs-title function_ invoke__">execute</span></span><span>();

    </span><span><span class="hljs-comment">// 獲取查詢結果的第一列</span></span><span>
    </span><span><span class="hljs-variable">$count</span></span><span> = </span><span><span class="hljs-variable">$stmt</span></span><span>-&gt;</span><span><span class="hljs-title function_ invoke__">fetchColumn</span></span><span>();

    </span><span><span class="hljs-comment">// 輸出查詢結果</span></span><span>
    </span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">"用戶 '<span class="hljs-subst">$username</span></span></span><span>' 的賬戶數是: " . </span><span><span class="hljs-variable">$count</span></span><span>;

} </span><span><span class="hljs-keyword">catch</span></span><span> (PDOException </span><span><span class="hljs-variable">$e</span></span><span>) {
    </span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">'連接失敗: '</span></span><span> . </span><span><span class="hljs-variable">$e</span></span><span>-&gt;</span><span><span class="hljs-title function_ invoke__">getMessage</span></span><span>();
}
</span><span><span class="hljs-meta">?&gt;</span></span><span>
</span></span>

代碼分析

在上面的代碼中，我們使用了PDO 的預處理語句來避免SQL 注入：

數據庫連接：我們通過new PDO創建了數據庫連接，並設置了錯誤模式為異常，以便捕獲所有錯誤。
預處理語句：我們用prepare方法構建SQL 查詢，這樣SQL 查詢就與用戶輸入分離，防止了直接拼接SQL 導致的注入風險。
綁定參數：通過bindParam方法，我們將:username參數綁定到用戶輸入的值$username 。這確保了用戶輸入的值被安全地處理，並且不直接嵌入SQL 查詢中。
獲取結果：使用fetchColumn獲取查詢結果的第一列（在這個例子中是用戶賬戶的數量），而不是返回整個查詢結果集，這使得代碼更加簡潔高效。

為什麼fetchColumn能有效防止SQL 注入？

避免SQL 拼接：通過使用預處理語句，我們徹底避免了將用戶輸入直接拼接到SQL 查詢中。這是SQL 注入的主要根源。無論用戶輸入什麼惡意內容，它都會被正確地轉義並作為參數傳遞，而不是作為查詢的一部分。
參數綁定：使用bindParam或bindValue綁定參數可以確保用戶輸入的數據被安全地處理。 PDO 會自動處理輸入值的轉義和數據類型的轉換，避免了SQL 注入攻擊者通過巧妙的輸入來操控SQL 語句的可能性。
簡化代碼： fetchColumn方法專門用於獲取單個列的數據，避免了多餘的結果集處理，使得代碼更加簡潔。

相關標籤:
PDOStatement SQL

PDOStatement::fetchColumn