다중 쿼리에 대한 PDO 지원 (PDO_MYSQL, PDO_MYSQLND)

PDO는 하나의 문에서 실행되는 여러 쿼리를 지원하지 않는다는 것을 알고 있습니다. 나는 구글링을 해왔고 PDO_MYSQL 및 PDO_MYSQLND에 대해 이야기하는 게시물을 거의 찾지 못했습니다.

PDO_MySQL은 다른 기존 MySQL 애플리케이션보다 더 위험한 애플리케이션입니다. 기존 MySQL은 단일 SQL 쿼리 만 허용합니다. PDO_MySQL에는 이러한 제한이 없지만 여러 쿼리가 주입 될 위험이 있습니다.

From : PDO 및 Zend Framework를 사용한 SQL 주입 방지 (2010 년 6 월, Julian 작성)

PDO_MYSQL 및 PDO_MYSQLND가 여러 쿼리를 지원하는 것처럼 보이지만 이에 대한 자세한 정보를 찾을 수 없습니다. 이러한 프로젝트가 중단 되었습니까? 이제 PDO를 사용하여 여러 쿼리를 실행할 수있는 방법이 있습니까?

아시다시피 PHP 5.3에서 PDO_MYSQLND대체 PDO_MYSQL되었습니다. 혼란스러운 부분은 이름이 여전히 PDO_MYSQL. 이제 ND는 MySQL + PDO의 기본 드라이버입니다.

전반적으로 한 번에 여러 쿼리를 실행하려면 다음이 필요합니다.

• PHP 5.3 이상
• mysqlnd
• 에뮬레이트 된 준비된 진술. (기본값)으로 PDO::ATTR_EMULATE_PREPARES설정되어 있는지 확인하십시오 1. 또는 준비된 문 사용을 피하고 $pdo->exec직접 사용할 수 있습니다.

exec 사용

$db = new PDO("mysql:host=localhost;dbname=test", 'root', '');

// works regardless of statements emulation
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 0);

$sql = "
DELETE FROM car; 
INSERT INTO car(name, type) VALUES ('car1', 'coupe'); 
INSERT INTO car(name, type) VALUES ('car2', 'coupe');
";

$db->exec($sql);

문 사용

$db = new PDO("mysql:host=localhost;dbname=test", 'root', '');

// works not with the following set to 0. You can comment this line as 1 is default
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 1);

$sql = "
DELETE FROM car; 
INSERT INTO car(name, type) VALUES ('car1', 'coupe'); 
INSERT INTO car(name, type) VALUES ('car2', 'coupe');
";

$stmt = $db->prepare($sql);
$stmt->execute();

노트:

에뮬레이트 된 준비된 명령문을 사용할 때 DSN (5.3.6부터 사용 가능 )에서 올바른 인코딩 (실제 데이터 인코딩을 반영 함)을 설정했는지 확인하십시오 . 그렇지 않으면 이상한 인코딩이 사용되는 경우 SQL 삽입이 약간 발생할 수 있습니다 .

반나절 만에 PDO에 버그가 있음을 알았습니다.

-

//This would run as expected:
$pdo->exec("valid-stmt1; valid-stmt2;");

-

//This would error out, as expected:
$pdo->exec("non-sense; valid-stmt1;");

-

//Here is the bug:
$pdo->exec("valid-stmt1; non-sense; valid-stmt3;");

를 실행하고 "valid-stmt1;"중지 "non-sense;"하고 오류를 던지지 않습니다. 를 실행하지 않고 "valid-stmt3;"진실을 반환하고 모든 것이 잘 실행되었다고 거짓말합니다.

나는 오류가 발생할 것으로 예상 "non-sense;"하지만 그렇지 않습니다.

이 정보를 찾은 위치 : 잘못된 PDO 쿼리가 오류를 반환하지 않습니다.

다음은 버그입니다 : https://bugs.php.net/bug.php?id=61613

그래서 mysqli로이 작업을 시도했지만 작동 방식에 대한 확실한 답을 찾지 못했기 때문에 사용하려는 사람들을 위해 여기에 남겨 두겠다고 생각했습니다 ..

try{
    // db connection
    $mysqli = new mysqli("host", "user" , "password", "database");
    if($mysqli->connect_errno){
        throw new Exception("Connection Failed: [".$mysqli->connect_errno. "] : ".$mysqli->connect_error );
        exit();
    }

    // read file.
    // This file has multiple sql statements.
    $file_sql = file_get_contents("filename.sql");

    if($file_sql == "null" || empty($file_sql) || strlen($file_sql) <= 0){
        throw new Exception("File is empty. I wont run it..");
    }

    //run the sql file contents through the mysqli's multi_query function.
    // here is where it gets complicated...
    // if the first query has errors, here is where you get it.
    $sqlFileResult = $mysqli->multi_query($file_sql);
    // this returns false only if there are errros on first sql statement, it doesn't care about the rest of the sql statements.

    $sqlCount = 1;
    if( $sqlFileResult == false ){
        throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], [".$mysqli->errno."]: '".$mysqli->error."' }");
    }

    // so handle the errors on the subsequent statements like this.
    // while I have more results. This will start from the second sql statement. The first statement errors are thrown above on the $mysqli->multi_query("SQL"); line
    while($mysqli->more_results()){
        $sqlCount++;
        // load the next result set into mysqli's active buffer. if this fails the $mysqli->error, $mysqli->errno will have appropriate error info.
        if($mysqli->next_result() == false){
            throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], Error No: [".$mysqli->errno."]: '".$mysqli->error."' }");
        }
    }
}
catch(Exception $e){
    echo $e->getMessage(). " <pre>".$e->getTraceAsString()."</pre>";
}

빠르고 더러운 접근 방식 :

function exec_sql_from_file($path, PDO $pdo) {
    if (! preg_match_all("/('(\\\\.|.)*?'|[^;])+/s", file_get_contents($path), $m))
        return;

    foreach ($m[0] as $sql) {
        if (strlen(trim($sql)))
            $pdo->exec($sql);
    }
}

합리적인 SQL 문 끝점에서 분할합니다. 오류 검사, 주입 방지 기능이 없습니다. 사용하기 전에 사용법을 이해하십시오. 개인적으로 통합 테스트를 위해 원시 마이그레이션 파일을 시드하는 데 사용합니다.

수천 명의 사람들과 마찬가지로이 질문을 찾고
있습니다. 여러 쿼리를 동시에 실행할 수 있고 오류가 하나만 발생하면 아무 것도 실행되지 않습니다.이 페이지를 어디에서나 방문
했지만 여기에있는 친구들이 좋은 대답을했지만이 대답은 좋지 않았습니다. 내 문제
그래서 나는 잘 작동하고 SQL 주입에 거의 문제가없는 함수를 작성했습니다.
비슷한 질문을 찾는 분들에게 도움이 될 수 있으니 여기에 넣어서

function arrayOfQuerys($arrayQuery)
{
    $mx = true;
    $conn->beginTransaction();
    try {
        foreach ($arrayQuery AS $item) {
            $stmt = $conn->prepare($item["query"]);
            $stmt->execute($item["params"]);
            $result = $stmt->rowCount();
            if($result == 0)
                $mx = false;
         }
         if($mx == true)
             $conn->commit();
         else
             $conn->rollBack();
    } catch (Exception $e) {
        $conn->rollBack();
        echo "Failed: " . $e->getMessage();
    }
    return $mx;
}

사용을 위해 (예) :

 $arrayQuery = Array(
    Array(
        "query" => "UPDATE test SET title = ? WHERE test.id = ?",
        "params" => Array("aa1", 1)
    ),
    Array(
        "query" => "UPDATE test SET title = ? WHERE test.id = ?",
        "params" => Array("bb1", 2)
    )
);
arrayOfQuerys($arrayQuery);

그리고 내 연결 :

    try {
        $options = array(
            //For updates where newvalue = oldvalue PDOStatement::rowCount()   returns zero. You can use this:
            PDO::MYSQL_ATTR_FOUND_ROWS => true
        );
        $conn = new PDO("mysql:host=$servername;dbname=$database", $username, $password, $options);
        $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    } catch (PDOException $e) {
        echo "Error connecting to SQL Server: " . $e->getMessage();
    }

참고 :
이 솔루션은 여러 문을 함께 실행하는 데 도움이됩니다
. 잘못된 문이 발생하면 다른 문을 실행하지 않습니다.

다음 코드 시도

 $db = new PDO("mysql:host={$dbhost};dbname={$dbname};charset=utf8", $dbuser, $dbpass, array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));

그때

 try {
 $db->query('SET NAMES gbk');
 $stmt = $db->prepare('SELECT * FROM 2_1_paidused WHERE NumberRenamed = ? LIMIT 1');
 $stmt->execute(array("\xbf\x27 OR 1=1 /*"));
 }
 catch (PDOException $e){
 echo "DataBase Errorz: " .$e->getMessage() .'<br>';
 }
 catch (Exception $e) {
 echo "General Errorz: ".$e->getMessage() .'<br>';
 }

그리고있어

DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' LIMIT 1' at line 1

$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);이후에 추가하면$db = ...

그런 다음 빈 페이지가 생겼습니다.

대신 SELECT시도 하면 DELETE두 경우 모두 다음과 같은 오류가 발생합니다.

 DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '* FROM 2_1_paidused WHERE NumberRenamed = '¿\' OR 1=1 /*' LIMIT 1' at line 1

그래서 주사가 불가능하다는 결론은 ...

이 기능을 시도하십시오 : mltiple 쿼리 및 다중 값 삽입.

function employmentStatus($Status) {
$pdo = PDO2::getInstance();

$sql_parts = array(); 
for($i=0; $i<count($Status); $i++){
    $sql_parts[] = "(:userID, :val$i)";
}

$requete = $pdo->dbh->prepare("DELETE FROM employment_status WHERE userid = :userID; INSERT INTO employment_status (userid, status) VALUES ".implode(",", $sql_parts));
$requete->bindParam(":userID", $_SESSION['userID'],PDO::PARAM_INT);
for($i=0; $i<count($Status); $i++){
    $requete->bindParam(":val$i", $Status[$i],PDO::PARAM_STR);
}
if ($requete->execute()) {
    return true;
}
return $requete->errorInfo();
}

PDO는이를 지원합니다 (2020 년 기준). 평상시처럼 PDO 객체에 대해 query () 호출을 수행하여 쿼리를; 다음 SELECT 결과가 여러 개인 경우 nextRowset ()을 사용하여 다음 SELECT 결과로 이동합니다. 결과 집합은 쿼리와 동일한 순서입니다. 보안에 미치는 영향에 대해 분명히 생각해보십시오. 사용자가 제공 한 쿼리를 받아들이거나 매개 변수를 사용하지 마십시오. 예를 들어 코드에 의해 생성 된 쿼리와 함께 사용합니다.

$statement = $connection->query($query);
do {
  $data[] = $statement->fetchAll(PDO::FETCH_ASSOC);
} while ($statement->nextRowset());