社区 学习 工具库 休闲
搜索
简体中文
php PDO 用可编辑值替换查询中的匿名参数('?')
P粉654894952
P粉654894952 2023-09-02 11:38:14
0
1
534
<p>我想要一种方法来显示 SQL 查询在用实际参数替换匿名参数 (<code>?</code>) 时的外观。</p><p> 这<strong>仅</strong>用于可读性目的和调试,不会用作实际查询。</p> <p>我发现这个函数在大多数情况下都有效:</p> <pre class="brush:php;toolbar:false;">return array_reduce($this->bindValues, function ($sql, $binding) { return preg_replace('/\?/', is_numeric($binding) ? $binding : '"' . $binding . '"', $sql, 1); }, $this->query);</pre> <p>更换?与实际值:</p> <pre class="brush:php;toolbar:false;">$data = array( 'item' => '1, 'type' => 'Are you ok.' );</pre> <pre class="brush:php;toolbar:false;">UPDATE `list` set `item`=?,`type`=? WHERE (`id` = ?) ; UPDATE `list` set `item`="1",`type`="Are you ok." WHERE (`id` = 1) ;</pre> <p>但是如果该值包含 ?我最终得到的是:</p> <pre class="brush:php;toolbar:false;">$data = array( 'item' => '1, 'type' => 'Are you ok?' );</pre> <pre class="brush:php;toolbar:false;">UPDATE `list` set `item`="1",`type`="Are you ok2" WHERE (`id` = ?) ;</pre> <p>我怎样才能做到这一点,所以只能绑定?已被替换。</p>
P粉654894952
P粉654894952

全部回复(1)
P粉619896145
P粉6198961452023-09-03 10:06:17 1 楼

首先,考虑使用命名参数而不是?代码>。在这种情况下,您不需要替换任何内容:命名参数清晰且相当容易在日志中显示,并且大多数 dbms 客户端都支持用于调试目的。

如果命名参数不可行(由于当前代码库较大或任何其他原因),您有两种主要方法:

  1. 使用 SQL 查询解析器。它将产生最可靠的结果。
  2. 使用某种自己编写的“替代者”。它的结果永远不会是理想的或完全可靠的,但在性能和开发方面都应该很快。

如果您选择后一种方式,这里是如何快速而肮脏地完成它的示例:

分多个步骤进行替换:

  1. 通过将 ? 替换为其他极不可能出现在参数或查询中的内容来准备参数。例如\?
  2. 使用正则表达式替换参数,这将匹配 ?,但不会匹配第一步中的替换。如果用 \? 替换,则为 (?
  3. 将结果中的所有 \? 替换为 ?

注意:此替换的结果不应永远用作程序中的查询。这种替代有可能实现以下任何或所有功能:

  • SQL 注入,
  • 如果初始查询包含 ? 而不是作为参数(例如在注释中),结果不准确,
  • 如果初始查询或任何参数包含替换字符串(在我们的示例中为 \?),结果将不准确。
<?php
$query = 'UPDATE `list` set `item`=?,`type`=? WHERE  (`id` = ?);';
$params = array(
    'item' => '1',
    'type' => 'Are you o\'k?',
    'id'   => 2
);

function substitute_params($query, $params) {
    $prep_params =  str_replace(array("'","?"),array("''","\?"),$params);
    $query = array_reduce($prep_params, function ($interm, $param) {
        return preg_replace('/(?<!\\)\?/m', 
            is_numeric($param) ? $param : '\'' . $param . '\'', 
            $interm, 
            1);
    }, $query);
    return "-- Not to be used as a query to database. For demonstration purposes only!\n"
      .str_replace("\?", "?", $query);
}
echo substitute_params($query, $params);
?>

输出:

-- Not to be used as a query to database. For demonstration purposes only!
UPDATE `list` set `item`=1,`type`='Are you o''k?' WHERE  (`id` = 2);

编辑:要尝试降低常量字符串和带引号的名称内问号的影响,您可以尝试使用此替换:

        return preg_replace('/^([^"\'`]*?(?:(?:`[^`]*?`[^"\'`]*?)*?(?:"[^"]*?"[^"\'`]*?)*?(?:\'[^\']*?\'[^\'"`]*?)*?)*?)(?<!\\)\?/m', 
            ''.(is_numeric($param) ? $param : '\'' . $param . '\''), 
            $interm, 
            1);

它仅替换用 "`' 引用的块之外的 ?

可以在此处查看演示。

请记住,这不是完全成熟的解析器。例如,它不知道评论。因此错误替换的可能性仍然很大。

点赞 +0
添加回复
热门专题
更多>
热门文章
热门教程
更多>
相关教程
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板