Obsługa PDO dla wielu zapytań (PDO_MYSQL, PDO_MYSQLND)

Wiem, że PDO nie obsługuje wielu zapytań wykonywanych w jednej instrukcji. Szukałem w Google i znalazłem kilka postów dotyczących PDO_MYSQL i PDO_MYSQLND.

PDO_MySQL jest bardziej niebezpieczną aplikacją niż jakiekolwiek inne tradycyjne aplikacje MySQL. Tradycyjny MySQL dopuszcza tylko jedno zapytanie SQL. W PDO_MySQL nie ma takiego ograniczenia, ale istnieje ryzyko wstrzyknięcia wielu zapytań.

Od: Protection against SQL Injection using PDO and Zend Framework (czerwiec 2010; Julian)

Wygląda na to, że PDO_MYSQL i PDO_MYSQLND zapewniają obsługę wielu zapytań, ale nie jestem w stanie znaleźć więcej informacji na ich temat. Czy te projekty zostały przerwane? Czy jest teraz jakikolwiek sposób na uruchamianie wielu zapytań przy użyciu PDO.

Jak wiem, PDO_MYSQLNDzastąpiony PDO_MYSQLw PHP 5.3. Mylące jest to, że imię wciąż jest PDO_MYSQL. Teraz ND jest domyślnym sterownikiem MySQL + PDO.

Ogólnie rzecz biorąc, aby wykonać wiele zapytań jednocześnie, potrzebujesz:

• PHP 5.3+
• mysqlnd
• Emulowane przygotowane wyciągi. Upewnij się, że PDO::ATTR_EMULATE_PREPARESjest ustawione na 1(domyślne). Alternatywnie możesz uniknąć używania przygotowanych wyciągów i używać ich $pdo->execbezpośrednio.

Korzystanie z exec

$db = new PDO("mysql:host=localhost;dbname=test", 'root', '');

// works regardless of statements emulation
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 0);

$sql = "
DELETE FROM car; 
INSERT INTO car(name, type) VALUES ('car1', 'coupe'); 
INSERT INTO car(name, type) VALUES ('car2', 'coupe');
";

$db->exec($sql);

Korzystanie z instrukcji

$db = new PDO("mysql:host=localhost;dbname=test", 'root', '');

// works not with the following set to 0. You can comment this line as 1 is default
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 1);

$sql = "
DELETE FROM car; 
INSERT INTO car(name, type) VALUES ('car1', 'coupe'); 
INSERT INTO car(name, type) VALUES ('car2', 'coupe');
";

$stmt = $db->prepare($sql);
$stmt->execute();

Notka:

Korzystając z emulowanych przygotowanych instrukcji, upewnij się, że ustawiłeś odpowiednie kodowanie (odzwierciedlające faktyczne kodowanie danych) w DSN (dostępne od 5.3.6). W przeciwnym razie może wystąpić niewielka możliwość wstrzyknięcia kodu SQL, jeśli zostanie użyte dziwne kodowanie .

Po pół dnia bawiąc się tym, okazało się, że PDO ma błąd, w którym ...

-

//This would run as expected:
$pdo->exec("valid-stmt1; valid-stmt2;");

-

//This would error out, as expected:
$pdo->exec("non-sense; valid-stmt1;");

-

//Here is the bug:
$pdo->exec("valid-stmt1; non-sense; valid-stmt3;");

Wykona "valid-stmt1;", zatrzyma się "non-sense;"i nigdy nie zgłosi błędu. Nie uruchomię "valid-stmt3;", powróci prawda i kłamie, że wszystko poszło dobrze.

Spodziewałbym się, że wystąpi błąd, "non-sense;"ale tak się nie dzieje.

Oto gdzie znalazłem te informacje: Nieprawidłowe zapytanie PDO nie zwraca błędu

Oto błąd: https://bugs.php.net/bug.php?id=61613

Więc próbowałem to zrobić z mysqli i tak naprawdę nie znalazłem żadnej solidnej odpowiedzi na temat tego, jak to działa, więc pomyślałem, że zostawię to tutaj dla tych, którzy chcą go używać.

try{
    // db connection
    $mysqli = new mysqli("host", "user" , "password", "database");
    if($mysqli->connect_errno){
        throw new Exception("Connection Failed: [".$mysqli->connect_errno. "] : ".$mysqli->connect_error );
        exit();
    }

    // read file.
    // This file has multiple sql statements.
    $file_sql = file_get_contents("filename.sql");

    if($file_sql == "null" || empty($file_sql) || strlen($file_sql) <= 0){
        throw new Exception("File is empty. I wont run it..");
    }

    //run the sql file contents through the mysqli's multi_query function.
    // here is where it gets complicated...
    // if the first query has errors, here is where you get it.
    $sqlFileResult = $mysqli->multi_query($file_sql);
    // this returns false only if there are errros on first sql statement, it doesn't care about the rest of the sql statements.

    $sqlCount = 1;
    if( $sqlFileResult == false ){
        throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], [".$mysqli->errno."]: '".$mysqli->error."' }");
    }

    // so handle the errors on the subsequent statements like this.
    // while I have more results. This will start from the second sql statement. The first statement errors are thrown above on the $mysqli->multi_query("SQL"); line
    while($mysqli->more_results()){
        $sqlCount++;
        // load the next result set into mysqli's active buffer. if this fails the $mysqli->error, $mysqli->errno will have appropriate error info.
        if($mysqli->next_result() == false){
            throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], Error No: [".$mysqli->errno."]: '".$mysqli->error."' }");
        }
    }
}
catch(Exception $e){
    echo $e->getMessage(). " <pre>".$e->getTraceAsString()."</pre>";
}

Szybkie i brudne podejście:

function exec_sql_from_file($path, PDO $pdo) {
    if (! preg_match_all("/('(\\\\.|.)*?'|[^;])+/s", file_get_contents($path), $m))
        return;

    foreach ($m[0] as $sql) {
        if (strlen(trim($sql)))
            $pdo->exec($sql);
    }
}

Dzieli się w rozsądnych punktach końcowych instrukcji SQL. Nie ma kontroli błędów, nie ma ochrony wtrysku. Zrozum swoje zastosowanie przed użyciem. Osobiście używam go do wysyłania surowych plików migracyjnych do testów integracyjnych.

Podobnie jak tysiące ludzi, szukam tego pytania:
Mogę uruchomić wiele zapytań jednocześnie, a jeśli byłby jeden błąd, żaden nie byłby uruchomiony Wszedłem na tę stronę wszędzie
Ale chociaż znajomi tutaj udzielili dobrych odpowiedzi, te odpowiedzi nie były dobre dla mój problem
Więc napisałem funkcję, która działa dobrze i prawie nie ma problemu z wtryskiem sql.
Może to być pomocne dla tych, którzy szukają podobnych pytań, więc umieściłem je tutaj do wykorzystania

function arrayOfQuerys($arrayQuery)
{
    $mx = true;
    $conn->beginTransaction();
    try {
        foreach ($arrayQuery AS $item) {
            $stmt = $conn->prepare($item["query"]);
            $stmt->execute($item["params"]);
            $result = $stmt->rowCount();
            if($result == 0)
                $mx = false;
         }
         if($mx == true)
             $conn->commit();
         else
             $conn->rollBack();
    } catch (Exception $e) {
        $conn->rollBack();
        echo "Failed: " . $e->getMessage();
    }
    return $mx;
}

do użytku (przykład):

 $arrayQuery = Array(
    Array(
        "query" => "UPDATE test SET title = ? WHERE test.id = ?",
        "params" => Array("aa1", 1)
    ),
    Array(
        "query" => "UPDATE test SET title = ? WHERE test.id = ?",
        "params" => Array("bb1", 2)
    )
);
arrayOfQuerys($arrayQuery);

i moje połączenie:

    try {
        $options = array(
            //For updates where newvalue = oldvalue PDOStatement::rowCount()   returns zero. You can use this:
            PDO::MYSQL_ATTR_FOUND_ROWS => true
        );
        $conn = new PDO("mysql:host=$servername;dbname=$database", $username, $password, $options);
        $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    } catch (PDOException $e) {
        echo "Error connecting to SQL Server: " . $e->getMessage();
    }

Uwaga:
To rozwiązanie ułatwia uruchamianie wielu instrukcji jednocześnie.
Jeśli wystąpi niepoprawna instrukcja, nie zostanie wykonana żadna inna instrukcja

Wypróbowałem następujący kod

 $db = new PDO("mysql:host={$dbhost};dbname={$dbname};charset=utf8", $dbuser, $dbpass, array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));

Następnie

 try {
 $db->query('SET NAMES gbk');
 $stmt = $db->prepare('SELECT * FROM 2_1_paidused WHERE NumberRenamed = ? LIMIT 1');
 $stmt->execute(array("\xbf\x27 OR 1=1 /*"));
 }
 catch (PDOException $e){
 echo "DataBase Errorz: " .$e->getMessage() .'<br>';
 }
 catch (Exception $e) {
 echo "General Errorz: ".$e->getMessage() .'<br>';
 }

I dostał

DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' LIMIT 1' at line 1

Jeśli zostanie dodany $db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);po$db = ...

Potem dostałem pustą stronę

Jeśli zamiast tego SELECTspróbowano DELETE, w obu przypadkach pojawił się błąd, taki jak

 DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '* FROM 2_1_paidused WHERE NumberRenamed = '¿\' OR 1=1 /*' LIMIT 1' at line 1

Więc mój wniosek, że żaden zastrzyk nie jest możliwy ...

Wypróbuj tę funkcję: mltiple queries i wstawianie wielu wartości.

function employmentStatus($Status) {
$pdo = PDO2::getInstance();

$sql_parts = array(); 
for($i=0; $i<count($Status); $i++){
    $sql_parts[] = "(:userID, :val$i)";
}

$requete = $pdo->dbh->prepare("DELETE FROM employment_status WHERE userid = :userID; INSERT INTO employment_status (userid, status) VALUES ".implode(",", $sql_parts));
$requete->bindParam(":userID", $_SESSION['userID'],PDO::PARAM_INT);
for($i=0; $i<count($Status); $i++){
    $requete->bindParam(":val$i", $Status[$i],PDO::PARAM_STR);
}
if ($requete->execute()) {
    return true;
}
return $requete->errorInfo();
}

ChNP to obsługuje (od 2020 r.). Po prostu wykonaj wywołanie query () na obiekcie PDO jak zwykle, oddzielając zapytania; a następnie nextRowset (), aby przejść do następnego wyniku SELECT, jeśli masz wiele. Zestawy wyników będą w tej samej kolejności co zapytania. Oczywiście pomyśl o implikacjach dla bezpieczeństwa - więc nie akceptuj zapytań dostarczonych przez użytkownika, używaj parametrów itp. Używam go na przykład do zapytań generowanych przez kod.

$statement = $connection->query($query);
do {
  $data[] = $statement->fetchAll(PDO::FETCH_ASSOC);
} while ($statement->nextRowset());