Dette er fordi ORDER BY bruger en database-id (dvs. en kolonne, et alias eller et udtryk). Du sender værdien som en parameter.
Med andre ord ville den resulterende forespørgsel svare til
... ORDER BY 'StartTime' ...
Hvis du validerer brugerinput mod et kendt sæt værdier (dvs. de tilgængelige kolonner), kan du blot interpolere værdien i forespørgselsstrengen, f.eks. (meget groft)
$orderBy = $_GET['order_by'];
if (!in_array($orderBy, $orderableColumns)) {
throw new Exception('Invalid "order by" specified');
}
$query = sprintf('... ORDER BY `%s` ...', $orderBy);