Comment appliquer bindValue méthode dans la clause LIMIT?

Voici un aperçu de mon code:

$fetchPictures = $PDO->prepare("SELECT * 
    FROM pictures 
    WHERE album = :albumId 
    ORDER BY id ASC 
    LIMIT :skip, :max");

$fetchPictures->bindValue(':albumId', $_GET['albumid'], PDO::PARAM_INT);

if(isset($_GET['skip'])) {
    $fetchPictures->bindValue(':skip', trim($_GET['skip']), PDO::PARAM_INT);    
} else {
    $fetchPictures->bindValue(':skip', 0, PDO::PARAM_INT);  
}

$fetchPictures->bindValue(':max', $max, PDO::PARAM_INT);
$fetchPictures->execute() or die(print_r($fetchPictures->errorInfo()));
$pictures = $fetchPictures->fetchAll(PDO::FETCH_ASSOC);

- Je obtenir

Vous avez une erreur dans votre syntaxe SQL;
consultez le manuel qui correspond à
votre serveur MySQL version pour le
droit de la syntaxe à utiliser près de "15', 15' à
ligne 1

Il semble que PDO est l'ajout de guillemets simples pour mes variables dans la LIMITE de la partie du code SQL. Je l'ai regardé, j'ai trouvé ce bug qui je pense est lié:
http://bugs.php.net/bug.php?id=44639

Est que ce que je suis en train de regarder? Ce bug a été ouvert depuis avril 2008!
Que sommes-nous censés faire en attendant?

J'ai besoin de construire une partie de la pagination, et devez vous assurer que les données sont propres, sql injection-sûr, avant l'envoi de l'instruction sql.

InformationsquelleAutor Nathan H | 2010-02-16
  1. 153

    Je me souviens avoir eu ce problème avant. Convertir la valeur d'un nombre entier, avant de la transmettre à la fonction de liaison. Je pense que cela résout.

    $fetchPictures->bindValue(':skip', (int) trim($_GET['skip']), PDO::PARAM_INT);
    • Merci! Mais en PHP 5.3, le code ci-dessus jeté un message d'erreur indiquant "erreur Fatale: Impossible de passer le paramètre 2 par référence". Il n'aime pas le coulage d'un int là. Au lieu de (int) trim($_GET['skip']), essayez intval(trim($_GET['skip'])).
    • ce serait cool si quelqu'un a fourni l'explication pourquoi il en est ainsi...à partir d'un dessin/sécurité (ou d'autres) point de vue.
    • Cela ne fonctionnera que si émulé préparées sont activées. Il échouera s'il est désactivé (et il doit être désactivé!)
    • Êtes-vous sûr que vous ne l'utilisez pas bindParam?
    • Deux ans plus tard, ce bug existe toujours dans PHP 5.4! Je n'ai pu obtenir que cela fonctionne par le paramètre $entier=intval($limite) , puis à l'aide de $entier comme le deuxième paramètre de la fonction de liaison, afin d'éviter le 'ne peut pas passer le paramètre 2 par erreur de référence'. Aussi, même problème avec un DÉCALAGE trop.
    • Je ne peux pas vraiment répondre à cela - mais je peux souligner que LIMIT et OFFSET sont des caractéristiques qui ont été collés sur APRÈS tout ce PHP/MYSQL/PDO folie frappé le dev circuit... En fait, je crois que c'était Lerdorf lui-même qui a supervisé LIMITE de mise en œuvre de quelques années en arrière. Non, il ne répond pas à la question, mais elle indique que c'est un autre add-on, et vous savez comment ils peuvent travailler parfois....
    • href="http://en.wikipedia.org/wiki/Select_(SQL)#Non-standard_syntax" >LIMIT et OFFSET ne font pas partie de la norme SQL, qui pourrait expliquer pourquoi il a été "collé"
    • Je n'étais pas en mesure d'exécuter l'instruction préparée à nouveau lorsque j'ai eu un lié param en LIMIT et OFFSET, il donnerait des résultats vides
    • PDO ne permet pas de liaison vers les valeurs plutôt variables. Si vous essayez bindParam(':quelque chose', 2), vous aurez une erreur PDO utilise un pointeur vers la variable pour laquelle un nombre ne peut pas avoir (si $i est 2 vous pouvez avoir un pointeur vers $i, mais pas vers le numéro 2).
    • Je comprends cela, mais le paramétrage est censée permettre la substitution de variable. si j'ai mis $v=2 et bindparam sur $v :limite et comprennent :la limite dans l'instruction sql, il provoque une erreur, cela ne doit pas se produire et il est probable à la suite de ce Terrible mentionné.
    • voulais juste expliquer l'AOP "problème" avec la liaison de valeurs à la place des variables 🙂

    InformationsquelleAutor Stephen Curran
  2. 41

    La solution la plus simple serait de basculer le mode d'émulation off. Vous pouvez le faire soit comme une option de connexion ou tout simplement en ajoutant la ligne suivante

    $PDO->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );

    Il ne sera pas seulement de résoudre votre problème avec bind param, mais vous permet également d'envoyer des valeurs dans le execute(), qui permet de rendre votre code de façon spectaculaire tireur de

    $skip = (isset($_GET['skip'])):$_GET['skip']:0;
$sql  = "SELECT * FROM pictures WHERE album = ? ORDER BY id ASC LIMIT ?, ?";
$PDO->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );
$stm  = $PDO->prepare($sql);
$stm->execute(array($_GET['albumid'],$skip,$max));
$pictures = $stm->fetchAll(PDO::FETCH_ASSOC);
    • SQLSTATE[IM001]: Driver does not support this function: This driver doesn't support setting attributes...Pourquoi est-il jamais si simple pour me 🙂 Alors que je suis sûr que cela va obtenir la plupart des gens là-bas, dans mon cas, j'ai fini par avoir à utiliser quelque chose de similaire à la accepté de répondre. Juste un heads-up pour les futurs lecteurs!
    • ce pilote?
    • Je ne suis pas sûr, mais dans manuel il est dit PDO::ATTR_EMULATE_PREPARES Enables or disables emulation of prepared statements. Some drivers do not support native prepared statements or have limited support for them. C'est une nouvelle pour moi, mais encore une fois je suis juste de commencer avec PDO. Généralement utiliser mysqli, mais pensé que je voudrais essayer d'élargir mes horizons.
    • si vous utilisez PDO pour mysql, le pilote prend en charge cette fonction tout droit. Ainsi, vous obtenez ce message en raison d'une erreur
    • Je vous remercie beaucoup. J'allais commencer boxe moi-même dans le front si cela n'a pas de commencer à travailler par le temps, j'ai trouvé votre réponse.
    • Si vous avez obtenu le support du pilote message du problème, vérifiez à nouveau si vous appelez setAttribute pour la déclaration($stm, $stmt) non pas pour l'objet pdo.

    InformationsquelleAutor Your Common Sense
  3. 15

    À la recherche sur le rapport de bug, on peut travailler:

    $fetchPictures->bindValue(':albumId', (int)$_GET['albumid'], PDO::PARAM_INT);

$fetchPictures->bindValue(':skip', (int)trim($_GET['skip']), PDO::PARAM_INT);

    mais êtes-vous sûr que vos données entrantes est correcte? Parce que dans le message d'erreur, il semble y avoir seulement un devis après le nombre (par opposition au nombre entier d'être entourées de guillemets). Ce pourrait être aussi une erreur avec la réception de vos données. Pouvez-vous faire un print_r($_GET); trouver?

    • "15', 15'. Le premier numéro est entièrement incluse dans le devis. Le deuxième numéro a pas de guillemets à tous. Donc oui, les données sont bonnes.
    InformationsquelleAutor Pekka 웃
  4. 8

    - Ce juste que sommaire.

    Il existe quatre options pour paramétrer la LIMITE de/les valeurs de DÉCALAGE:

    1. Désactiver PDO::ATTR_EMULATE_PREPARES comme mentionné ci-dessus.

      Qui empêche les valeurs transmises par ->execute([...]) de toujours afficher des chaînes de caractères.

    2. Commutateur manuel ->bindValue(..., ..., PDO::PARAM_INT) paramètre de la population.

      Mais qui est moins pratique qu'un ->execute liste[].

    3. Simplement faire une exception ici et juste interpoler plaine entiers lors de la préparation de la requête SQL.

       $limit = intval($limit);
 $s = $pdo->prepare("SELECT * FROM tbl LIMIT {$limit}");

      Le casting est important. Plus souvent vous voir ->prepare(sprintf("SELECT ... LIMITE de %d", $num)) utilisés à de telles fins.

    4. Si vous n'êtes pas à l'aide de MySQL, mais par exemple SQLite ou Postgresql; vous pouvez également associer des paramètres liés directement en SQL.

       SELECT * FROM tbl LIMIT (1 * :limit)

      De nouveau, MySQL/MariaDB ne prennent pas en charge les expressions de la clause LIMIT. Pas encore de.

    • Je l'aurais utilisé sprintf() avec " %d pour la 3, je dirais que c'est un peu plus stable, alors la variable.
    • Ouais, le varfunc fonte+interpolation n'est pas le plus pratique exemple. J'avais souvent utiliser mon paresseux {$_GET->int["limit"]} pour de tels cas.
    InformationsquelleAutor
  5. 7

    pour LIMIT :init, :end

    Vous devez lier de cette façon. si vous aviez quelque chose comme $req->execute(Array()); il l'habitude de travailler comme il jetait PDO::PARAM_STR à tous les revendeurs dans le tableau et pour le LIMIT vous avez absolument besoin d'un nombre Entier.
    bindValue ou BindParam que vous le souhaitez.

    $fetchPictures->bindValue(':albumId', (int)$_GET['albumid'], PDO::PARAM_INT);
    InformationsquelleAutor Nicolas Manzini
  6. 2

    Puisque personne n'a expliqué pourquoi ce qui se passe, je vais ajouter une réponse. La raison, c'est se comporter de cette été est parce que vous êtes à l'aide de trim(). Si vous regardez le manuel PHP pour trim, le type de retour est string. Vous êtes ensuite essayer de la passer en PDO::PARAM_INT. Quelques méthodes pour contourner ce problème sont:

    1. Utilisation filter_var($integer, FILTER_VALIDATE_NUMBER_INT) à assurez-vous que vous êtes de passage à un entier.
    2. Comme les autres ont dit, à l'aide de intval()
    3. Casting avec (int)
    4. Vérifier si il est un entier avec is_int()

    Il y a beaucoup plus de moyens, mais c'est essentiellement la cause.

    • Il arrive même lorsque la variable a toujours été un entier.
    InformationsquelleAutor Melissa Williams
  7. 1

    bindValue de décalage et de limiter l'utilisation de PDO::PARAM_INT et il fonctionnera

    InformationsquelleAutor Karel
  8. 0

    //AVANT (Présent d'erreur)
    $query = " .... LIMITE :p1, 30;";
    ...
    $stmt->bindParam(':p1', $limiteInferior);

    //APRÈS (correction d'une Erreur)
    $query = " .... LIMITE :p1, 30;";
    ...
    $limiteInferior = (int)$limiteInferior;
    $stmt->bindParam(':p1', $limiteInferior, PDO::PARAM_INT);

    InformationsquelleAutor Brayan Josue Medina Melendez
  9. 0

    PDO::ATTR_EMULATE_PREPARES m'a donné l'

    Pilote ne prend pas en charge cette fonction: Ce pilote ne prend pas en charge
    la définition des attributs d'erreur".

    Ma solution est de définir un $limit variable une chaîne de caractères, puis de les combiner dans l'instruction prepare comme dans l'exemple suivant:

    $limit = ' LIMIT ' . $from . ', ' . $max_results;
$stmt = $pdo->prepare( 'SELECT * FROM users WHERE company_id = :cid ORDER BY name ASC' . $limit . ';' );
try {
    $stmt->execute( array( ':cid' => $company_id ) );
    ...
}
catch ( Exception $e ) {
    ...
}
    InformationsquelleAutor Fins
  10. -3

    Je n'ai la suite de la mine où $info est mon tableau en tenant mes paramètres liés:

        preg_match( '/LIMIT :(?P<limit>[0-9a-zA-Z]*)/', $sql, $matches );
    if (count($matches)) {
        //print_r($matches);
        $sql = str_replace( $matches[0], 'LIMIT ' . intval( $info[':' . $matches['limit']] ), $sql );
    }       
    //LIMIT #, :limit#
    preg_match( '/LIMIT (?P<limit1>[0-9]*),\s?:(?P<limit2>[0-9a-zA-Z]*)/', $sql, $matches );
    if (count($matches)) {
        //print_r($matches);
        $sql = str_replace( $matches[0], 'LIMIT ' . $matches['limit1'] . ',' . intval( $info[':' . $matches['limit2']] ), $sql );
    }

    Ceci est basé en partie sur Sebas du code.

    InformationsquelleAutor spyke01