Подсыпать синтаксического сахарку в класс для работы с mysql

[Фанат]

Зреет тут во мне мысля сделать в своем классике пласехолдер со всякими мелочами типа ASC, DESC, AND, OR, операторами сравнения.

То есть, если, скажем,

$data  = $db->getAll("SELECT * FROM table ORDER BY field ?o",$order);

то при

$order = 'DESC';

будет всё нормально,

$order = "bobby;drop table users -- ";

будет выкидываться исключенение.

И есть у меня по этому поводу два сомнения.
- не слишком ли много пласехолдеров (это будет седьмой)?
- не могу придумать, какая тут может влезть инжекция

 

[флоппик]

ORDER BY RAND() ?

 

[флоппик]

ORDER BY `date` DESC, `id` ?

 

[Фанат]

второе -

("ORDER BY ?u ?o, ?u", $date, $order, $id)

а первое, если попадает в запрос динамически - то только руками, из прописанного заранее белого списка

Задача ведь не стоит покрыть 100% случаев.
Это чисто синтаксический сахер, чтобы не писать белый список для таких мелочей каждый раз специально, а прописать 1 раз глобально.

 

[флоппик]

тогда б стоило разумный дефолт предусмотреть, если это сахар?

 

[Фанат]

Ну, в том формате, в котором я это придумал, дефолт сделать невозможно - тут же в одной куче и ASC, и AND, и >=
Да и неверно - с дефолтами.
По-хорошему, неверную ерунду в HTTP запросе еще контроллер должен отлавливать и казать 404. Или выставлять дефолты.
А здесь уже так - для проформы. Ради поддержания парадигмы "форматирование SQL делается строго в одном месте"

 

[fixxxer]

Напрашиваются кастомные плейсхолдеры.

Типа

SafeMysql::addWhitelistPlaceholder('?o', array('ASC', 'DESC'));
SafeMysql::addPlaceholderFunction('?l', function($value) {
return $this->escapeString(addcslashes($value, '%_') . '%');
});

 

[Ragazzo]

fixxxer
NO! Надо так
SafeMysql::addPlaceholder(new Placeholders\Whitelist(...))
SafeMysql::addPlaceholder(new Placeholders\Function(...))

 

[fixxxer]