PDOは、1つのステートメントで実行される複数のクエリをサポートしていないことを知っています。私はグーグル検索を行ってきましたが、PDO_MYSQLとPDO_MYSQLNDについて語っている記事はほとんど見つかりませんでした。
PDO_MySQLは、他の従来のMySQLアプリケーションよりも危険なアプリケーションです。従来のMySQLでは、単一のSQLクエリのみが許可されています。 PDO_MySQLにはそのような制限はありませんが、複数のクエリが挿入される危険があります。
From: PDOおよびZend Frameworkを使用したSQLインジェクションに対する保護(2010年6月; Julianによる)
PDO_MYSQLとPDO_MYSQLNDは複数のクエリをサポートしているようですが、それらについての詳細情報を見つけることができません。これらのプロジェクトは中止されましたか? PDOを使用して複数のクエリを実行する方法はありますか?.
私が知っているように、PHP 5.3でPDO_MYSQLND
がPDO_MYSQL
に置き換わりました。紛らわしい部分は、名前がまだPDO_MYSQL
であるということです。したがって、NDはMySQL + PDOのデフォルトのドライバーになりました。
全体として、複数のクエリを一度に実行するには、次が必要です。
PDO::ATTR_EMULATE_PREPARES
が1
(デフォルト)に設定されていることを確認してください。または、準備済みステートメントの使用を避け、$pdo->exec
を直接使用できます。execの使用
$db = new PDO("mysql:Host=localhost;dbname=test", 'root', '');
// works regardless of statements emulation
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 0);
$sql = "
DELETE FROM car;
INSERT INTO car(name, type) VALUES ('car1', 'coupe');
INSERT INTO car(name, type) VALUES ('car2', 'coupe');
";
try {
$db->exec($sql);
}
catch (PDOException $e)
{
echo $e->getMessage();
die();
}
ステートメントの使用
$db = new PDO("mysql:Host=localhost;dbname=test", 'root', '');
// works not with the following set to 0. You can comment this line as 1 is default
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 1);
$sql = "
DELETE FROM car;
INSERT INTO car(name, type) VALUES ('car1', 'coupe');
INSERT INTO car(name, type) VALUES ('car2', 'coupe');
";
try {
$stmt = $db->prepare($sql);
$stmt->execute();
}
catch (PDOException $e)
{
echo $e->getMessage();
die();
}
エミュレートされた準備済みステートメントを使用する場合は、 DSN (5.3.6以降で使用可能)で適切なエンコード(実際のデータエンコードを反映する)を設定したことを確認してください。それ以外の場合 奇妙なエンコーディングが使用されている場合、SQLインジェクションにわずかな可能性があります 。
これを半日いじってから、PDOにバグがあることがわかりました...
-
//This would run as expected:
$pdo->exec("valid-stmt1; valid-stmt2;");
-
//This would error out, as expected:
$pdo->exec("non-sense; valid-stmt1;");
-
//Here is the bug:
$pdo->exec("valid-stmt1; non-sense; valid-stmt3;");
"valid-stmt1;"
を実行し、"non-sense;"
で停止し、エラーをスローしません。 "valid-stmt3;"
を実行せず、trueを返し、すべてが正常に実行されたと嘘をつきます。
"non-sense;"
でエラーになると予想されますが、そうではありません。
この情報を見つけた場所は次のとおりです。 無効なPDOクエリはエラーを返しません
バグは次のとおりです。 https://bugs.php.net/bug.php?id=6161
だから、mysqliでこれをやろうとしましたが、どのように機能するかについての確固たる答えが実際に見つかりませんでした。
try{
// db connection
$mysqli = new mysqli("Host", "user" , "password", "database");
if($mysqli->connect_errno){
throw new Exception("Connection Failed: [".$mysqli->connect_errno. "] : ".$mysqli->connect_error );
exit();
}
// read file.
// This file has multiple sql statements.
$file_sql = file_get_contents("filename.sql");
if($file_sql == "null" || empty($file_sql) || strlen($file_sql) <= 0){
throw new Exception("File is empty. I wont run it..");
}
//run the sql file contents through the mysqli's multi_query function.
// here is where it gets complicated...
// if the first query has errors, here is where you get it.
$sqlFileResult = $mysqli->multi_query($file_sql);
// this returns false only if there are errros on first sql statement, it doesn't care about the rest of the sql statements.
$sqlCount = 1;
if( $sqlFileResult == false ){
throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], [".$mysqli->errno."]: '".$mysqli->error."' }");
}
// so handle the errors on the subsequent statements like this.
// while I have more results. This will start from the second sql statement. The first statement errors are thrown above on the $mysqli->multi_query("SQL"); line
while($mysqli->more_results()){
$sqlCount++;
// load the next result set into mysqli's active buffer. if this fails the $mysqli->error, $mysqli->errno will have appropriate error info.
if($mysqli->next_result() == false){
throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], Error No: [".$mysqli->errno."]: '".$mysqli->error."' }");
}
}
}
catch(Exception $e){
echo $e->getMessage(). " <pre>".$e->getTraceAsString()."</pre>";
}
手っ取り早い方法:
function exec_sql_from_file($path, PDO $pdo) {
if (! preg_match_all("/('(\\\\.|.)*?'|[^;])+/s", file_get_contents($path), $m))
return;
foreach ($m[0] as $sql) {
if (strlen(trim($sql)))
$pdo->exec($sql);
}
}
適切なSQLステートメントのエンドポイントで分割します。エラーチェックや注入保護はありません。使用する前に使用方法を理解してください。個人的には、統合テスト用の生の移行ファイルをシードするために使用します。
この機能を試してください:複数のクエリと複数の値の挿入。
function employmentStatus($Status) {
$pdo = PDO2::getInstance();
$sql_parts = array();
for($i=0; $i<count($Status); $i++){
$sql_parts[] = "(:userID, :val$i)";
}
$requete = $pdo->dbh->prepare("DELETE FROM employment_status WHERE userid = :userID; INSERT INTO employment_status (userid, status) VALUES ".implode(",", $sql_parts));
$requete->bindParam(":userID", $_SESSION['userID'],PDO::PARAM_INT);
for($i=0; $i<count($Status); $i++){
$requete->bindParam(":val$i", $Status[$i],PDO::PARAM_STR);
}
if ($requete->execute()) {
return true;
}
return $requete->errorInfo();
}
何千人もの人々のように、私はこの質問を探しています:
複数のクエリを同時に実行でき、エラーが1つでも実行されなかった場合、どこでもこのページに移動しました
しかし、ここの友人は良い答えを出しましたが、これらの答えは私の問題には良くありませんでした
だから私はうまく機能し、SQLインジェクションでほとんど問題のない関数を書きました。
同様の質問を探している人には役立つかもしれないので、ここに置いて使用します
function arrayOfQuerys($arrayQuery)
{
$mx = true;
$conn->beginTransaction();
try {
foreach ($arrayQuery AS $item) {
$stmt = $conn->prepare($item["query"]);
$stmt->execute($item["params"]);
$result = $stmt->rowCount();
if($result == 0)
$mx = false;
}
if($mx == true)
$conn->commit();
else
$conn->rollBack();
} catch (Exception $e) {
$conn->rollBack();
echo "Failed: " . $e->getMessage();
}
return $mx;
}
使用例(例):
$arrayQuery = Array(
Array(
"query" => "UPDATE test SET title = ? WHERE test.id = ?",
"params" => Array("aa1", 1)
),
Array(
"query" => "UPDATE test SET title = ? WHERE test.id = ?",
"params" => Array("bb1", 2)
)
);
arrayOfQuerys($arrayQuery);
私の接続:
try {
$options = array(
//For updates where newvalue = oldvalue PDOStatement::rowCount() returns zero. You can use this:
PDO::MYSQL_ATTR_FOUND_ROWS => true
);
$conn = new PDO("mysql:Host=$servername;dbname=$database", $username, $password, $options);
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
echo "Error connecting to SQL Server: " . $e->getMessage();
}
注:
このソリューションは、複数のステートメントを一緒に実行するのに役立ちます。
不正なステートメントが発生した場合、他のステートメントは実行されません
次のコードを試しました
$db = new PDO("mysql:Host={$dbhost};dbname={$dbname};charset=utf8", $dbuser, $dbpass, array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));
それから
try {
$db->query('SET NAMES gbk');
$stmt = $db->prepare('SELECT * FROM 2_1_paidused WHERE NumberRenamed = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));
}
catch (PDOException $e){
echo "DataBase Errorz: " .$e->getMessage() .'<br>';
}
catch (Exception $e) {
echo "General Errorz: ".$e->getMessage() .'<br>';
}
そして得た
DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' LIMIT 1' at line 1
$db = ...
の後に$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
を追加した場合
その後、空白のページになりました
代わりにSELECT
がDELETE
を試みた場合、両方のケースで次のようなエラーが発生しました
DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '* FROM 2_1_paidused WHERE NumberRenamed = '¿\' OR 1=1 /*' LIMIT 1' at line 1
だから、注射は不可能だという私の結論...