Hỗ trợ PDO cho nhiều truy vấn (PDO_MYSQL, PDO_MYSQLND)

Tôi biết rằng PDO không hỗ trợ nhiều truy vấn được thực thi trong một câu lệnh. Tôi đang sử dụng Google và tìm thấy một vài bài đăng nói về PDO_MYSQL và PDO_MYSQLND.

PDO_MySQL là một ứng dụng nguy hiểm hơn bất kỳ ứng dụng MySQL truyền thống nào khác. MySQL truyền thống chỉ cho phép một truy vấn SQL duy nhất. Trong PDO_MySQL không có giới hạn như vậy, nhưng bạn có nguy cơ bị chèn nhiều truy vấn.

Từ: Bảo vệ chống lại SQL Injection sử dụng PDO và Zend Framework (tháng 6 năm 2010; bởi Julian)

Có vẻ như PDO_MYSQL và PDO_MYSQLND cung cấp hỗ trợ cho nhiều truy vấn, nhưng tôi không thể tìm thêm thông tin về chúng. Các dự án này có bị ngừng không? Có cách nào bây giờ để chạy nhiều truy vấn bằng PDO không.

Như tôi biết, được PDO_MYSQLNDthay thế PDO_MYSQLtrong PHP 5.3. Phần khó hiểu là cái tên vẫn còn PDO_MYSQL. Vì vậy, bây giờ ND là trình điều khiển mặc định cho MySQL + PDO.

Nhìn chung, để thực hiện nhiều truy vấn cùng một lúc, bạn cần:

• PHP 5.3+
• mysqlnd
• Các câu lệnh đã chuẩn bị được mô phỏng. Đảm bảo PDO::ATTR_EMULATE_PREPARESđược đặt thành 1(mặc định). Ngoài ra, bạn có thể tránh sử dụng các câu lệnh đã soạn sẵn và sử dụng $pdo->exectrực tiếp.

Sử dụng thực thi

$db = new PDO("mysql:host=localhost;dbname=test", 'root', '');

// works regardless of statements emulation
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 0);

$sql = "
DELETE FROM car; 
INSERT INTO car(name, type) VALUES ('car1', 'coupe'); 
INSERT INTO car(name, type) VALUES ('car2', 'coupe');
";

$db->exec($sql);

Sử dụng câu lệnh

$db = new PDO("mysql:host=localhost;dbname=test", 'root', '');

// works not with the following set to 0. You can comment this line as 1 is default
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 1);

$sql = "
DELETE FROM car; 
INSERT INTO car(name, type) VALUES ('car1', 'coupe'); 
INSERT INTO car(name, type) VALUES ('car2', 'coupe');
";

$stmt = $db->prepare($sql);
$stmt->execute();

Một lưu ý:

Khi sử dụng các câu lệnh được chuẩn bị mô phỏng, hãy đảm bảo rằng bạn đã đặt mã hóa phù hợp (phản ánh mã hóa dữ liệu thực tế) trong DSN (khả dụng kể từ 5.3.6). Nếu không, có thể có một chút khả năng xảy ra việc chèn SQL nếu một số mã hóa kỳ lạ được sử dụng .

Sau nửa ngày loay hoay với cái này, phát hiện ra rằng PDO có một lỗi ở ...

-

//This would run as expected:
$pdo->exec("valid-stmt1; valid-stmt2;");

-

//This would error out, as expected:
$pdo->exec("non-sense; valid-stmt1;");

-

//Here is the bug:
$pdo->exec("valid-stmt1; non-sense; valid-stmt3;");

Nó sẽ thực thi "valid-stmt1;", dừng lại "non-sense;"và không bao giờ báo lỗi. Sẽ không chạy "valid-stmt3;", trả lại sự thật và nói dối rằng mọi thứ chạy tốt.

Tôi hy vọng nó sẽ xảy ra lỗi "non-sense;"nhưng nó không.

Đây là nơi tôi tìm thấy thông tin này: Truy vấn PDO không hợp lệ không trả lại lỗi

Đây là lỗi: https://bugs.php.net/bug.php?id=61613

Vì vậy, tôi đã thử làm điều này với mysqli và chưa thực sự tìm thấy bất kỳ câu trả lời chắc chắn nào về cách hoạt động của nó vì vậy tôi nghĩ rằng tôi chỉ để nó ở đây cho những người muốn sử dụng nó ..

try{
    // db connection
    $mysqli = new mysqli("host", "user" , "password", "database");
    if($mysqli->connect_errno){
        throw new Exception("Connection Failed: [".$mysqli->connect_errno. "] : ".$mysqli->connect_error );
        exit();
    }

    // read file.
    // This file has multiple sql statements.
    $file_sql = file_get_contents("filename.sql");

    if($file_sql == "null" || empty($file_sql) || strlen($file_sql) <= 0){
        throw new Exception("File is empty. I wont run it..");
    }

    //run the sql file contents through the mysqli's multi_query function.
    // here is where it gets complicated...
    // if the first query has errors, here is where you get it.
    $sqlFileResult = $mysqli->multi_query($file_sql);
    // this returns false only if there are errros on first sql statement, it doesn't care about the rest of the sql statements.

    $sqlCount = 1;
    if( $sqlFileResult == false ){
        throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], [".$mysqli->errno."]: '".$mysqli->error."' }");
    }

    // so handle the errors on the subsequent statements like this.
    // while I have more results. This will start from the second sql statement. The first statement errors are thrown above on the $mysqli->multi_query("SQL"); line
    while($mysqli->more_results()){
        $sqlCount++;
        // load the next result set into mysqli's active buffer. if this fails the $mysqli->error, $mysqli->errno will have appropriate error info.
        if($mysqli->next_result() == false){
            throw new Exception("File: '".$fullpath."' , Query#[".$sqlCount."], Error No: [".$mysqli->errno."]: '".$mysqli->error."' }");
        }
    }
}
catch(Exception $e){
    echo $e->getMessage(). " <pre>".$e->getTraceAsString()."</pre>";
}

Một cách tiếp cận nhanh chóng và hiệu quả:

function exec_sql_from_file($path, PDO $pdo) {
    if (! preg_match_all("/('(\\\\.|.)*?'|[^;])+/s", file_get_contents($path), $m))
        return;

    foreach ($m[0] as $sql) {
        if (strlen(trim($sql)))
            $pdo->exec($sql);
    }
}

Tách ở các điểm cuối câu lệnh SQL hợp lý. Không có lỗi kiểm tra, không có bảo vệ tiêm. Hiểu công dụng của bạn trước khi sử dụng. Cá nhân tôi sử dụng nó để bắt nguồn các tệp di chuyển thô để kiểm tra tích hợp.

Giống như hàng nghìn người, tôi đang tìm kiếm câu hỏi này:
Có thể chạy nhiều truy vấn cùng một lúc, và nếu có một lỗi, không ai sẽ chạy tôi đã đến trang này ở khắp mọi nơi
Nhưng mặc dù bạn bè ở đây cho câu trả lời tốt, những câu trả lời là không tốt cho vấn đề của tôi
Vì vậy, tôi đã viết một hàm hoạt động tốt và hầu như không có vấn đề gì với sql Injection.
Nó có thể hữu ích cho những người đang tìm kiếm câu hỏi tương tự vì vậy tôi đặt chúng ở đây để sử dụng

function arrayOfQuerys($arrayQuery)
{
    $mx = true;
    $conn->beginTransaction();
    try {
        foreach ($arrayQuery AS $item) {
            $stmt = $conn->prepare($item["query"]);
            $stmt->execute($item["params"]);
            $result = $stmt->rowCount();
            if($result == 0)
                $mx = false;
         }
         if($mx == true)
             $conn->commit();
         else
             $conn->rollBack();
    } catch (Exception $e) {
        $conn->rollBack();
        echo "Failed: " . $e->getMessage();
    }
    return $mx;
}

để sử dụng (ví dụ):

 $arrayQuery = Array(
    Array(
        "query" => "UPDATE test SET title = ? WHERE test.id = ?",
        "params" => Array("aa1", 1)
    ),
    Array(
        "query" => "UPDATE test SET title = ? WHERE test.id = ?",
        "params" => Array("bb1", 2)
    )
);
arrayOfQuerys($arrayQuery);

và kết nối của tôi:

    try {
        $options = array(
            //For updates where newvalue = oldvalue PDOStatement::rowCount()   returns zero. You can use this:
            PDO::MYSQL_ATTR_FOUND_ROWS => true
        );
        $conn = new PDO("mysql:host=$servername;dbname=$database", $username, $password, $options);
        $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    } catch (PDOException $e) {
        echo "Error connecting to SQL Server: " . $e->getMessage();
    }

Lưu ý:
Giải pháp này giúp bạn chạy nhiều câu lệnh cùng nhau,
Nếu một câu lệnh sai xảy ra, nó sẽ không thực hiện bất kỳ câu lệnh nào khác

Đã thử mã sau

 $db = new PDO("mysql:host={$dbhost};dbname={$dbname};charset=utf8", $dbuser, $dbpass, array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));

Sau đó

 try {
 $db->query('SET NAMES gbk');
 $stmt = $db->prepare('SELECT * FROM 2_1_paidused WHERE NumberRenamed = ? LIMIT 1');
 $stmt->execute(array("\xbf\x27 OR 1=1 /*"));
 }
 catch (PDOException $e){
 echo "DataBase Errorz: " .$e->getMessage() .'<br>';
 }
 catch (Exception $e) {
 echo "General Errorz: ".$e->getMessage() .'<br>';
 }

Và có

DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*' LIMIT 1' at line 1

Nếu thêm $db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);sau$db = ...

Sau đó, có trang trống

Nếu thay vào đó SELECTđã thử DELETE, thì trong cả hai trường hợp đều gặp lỗi như

 DataBase Errorz: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '* FROM 2_1_paidused WHERE NumberRenamed = '¿\' OR 1=1 /*' LIMIT 1' at line 1

Vì vậy, kết luận của tôi rằng không thể tiêm ...

Hãy thử chức năng này: truy vấn nhiều ml và chèn nhiều giá trị.

function employmentStatus($Status) {
$pdo = PDO2::getInstance();

$sql_parts = array(); 
for($i=0; $i<count($Status); $i++){
    $sql_parts[] = "(:userID, :val$i)";
}

$requete = $pdo->dbh->prepare("DELETE FROM employment_status WHERE userid = :userID; INSERT INTO employment_status (userid, status) VALUES ".implode(",", $sql_parts));
$requete->bindParam(":userID", $_SESSION['userID'],PDO::PARAM_INT);
for($i=0; $i<count($Status); $i++){
    $requete->bindParam(":val$i", $Status[$i],PDO::PARAM_STR);
}
if ($requete->execute()) {
    return true;
}
return $requete->errorInfo();
}

PDO hỗ trợ điều này (tính đến năm 2020). Chỉ cần thực hiện một cuộc gọi truy vấn () trên một đối tượng PDO như bình thường, tách các truy vấn bằng; và sau đó nextRowset () để chuyển đến kết quả CHỌN tiếp theo, nếu bạn có nhiều. Các tập kết quả sẽ theo thứ tự như các truy vấn. Rõ ràng là hãy nghĩ về các tác động bảo mật - vì vậy không chấp nhận các truy vấn do người dùng cung cấp, sử dụng các tham số, v.v. Tôi sử dụng nó với các truy vấn được tạo bởi mã chẳng hạn.

$statement = $connection->query($query);
do {
  $data[] = $statement->fetchAll(PDO::FETCH_ASSOC);
} while ($statement->nextRowset());