Mybb1.8資料庫核心操作update_query存在低階bug致資料遺失-php教程-PHP中文網

首頁

後端開發

php教程

Mybb1.8資料庫核心操作update_query存在低階bug致資料遺失

巴扎黑

Nov 11, 2016 pm 03:33 PM

Mybb1.6升級到1.8升級的過程中，遇到問題無數，近日發現了一個Mybb1.8資料庫核心操作update_query的程式碼中存在嚴重bug，導致資料存入時漏掉前面的零，折騰數小時，發現錯不在俺，而在mybb的升級代碼。

資料表：test
欄位
ID int(10) AUTO_INCREMENT
name varchar(60) not null
category varchar(5)

在此表中category來表示分類，分類釆用常見的代碼表示，共五位數字，前二位0l一99表示大類，後三位表示小類。在更新語句中透過Ajax提文更新，在台後語句中透過update_query更新資料。程序在1·6時工作正常，在開級1·8時更新混亂，檢查下來發現category字段前面的“0”丟失。透過變化各種手段均不能解決問題。最後把Mybb的資料操作核心檔翻出來，比較其1.6版本發現程式碼有低階bug，導致錯誤發生。

下面是1.8版数据更新过程

Php代码

function update_query($table, $array, $where="", $limit="", $no_quote=false)  
{  
    global $mybb;  
  
    if(!is_array($array))  
    {  
        return false;  
    }  
  
    $comma = "";  
    $query = "";  
    $quote = "&#39;";  
  
    if($no_quote == true)  
    {  
        $quote = "";  
    }  
  
    foreach($array as $field => $value)  
    {  
        if(isset($mybb->binary_fields[$table][$field]) && $mybb->binary_fields[$table][$field])  
        {  
            if($value[0] != &#39;X&#39;) // Not escaped?  
            {  
                $value = $this->escape_binary($value);  
            }  
              
            $query .= $comma."`".$field."`={$value}";  
        }  
        else  
        {  
            if(is_numeric($value))  
            {  
                $query .= $comma."`".$field."`={$value}";  
            }  
            else  
            {  
                $query .= $comma."`".$field."`={$quote}{$value}{$quote}";  
            }  
        }  
        $comma = &#39;, &#39;;  
    }  
  
    if(!emptyempty($where))  
    {  
        $query .= " WHERE $where";  
    }  
  
    if(!emptyempty($limit))  
    {  
        $query .= " LIMIT $limit";  
    }  
  
    return $this->write_query("  
        UPDATE {$this->table_prefix}$table  
        SET $query  
    ");  
}

而1.6版本是这样的

Php代码

function update_query($table, $array, $where="", $limit="", $no_quote=false)  
    {  
        if(!is_array($array))  
        {  
            return false;  
        }  
          
        $comma = "";  
        $query = "";  
        $quote = "&#39;";  
          
        if($no_quote == true)  
        {  
            $quote = "";  
        }  
          
        foreach($array as $field => $value)  
        {  
            $query .= $comma."`".$field."`={$quote}{$value}{$quote}";  
            $comma = &#39;, &#39;;  
        }  
          
        if(!emptyempty($where))  
        {  
            $query .= " WHERE $where";  
        }  
          
        if(!emptyempty($limit))  
        {  
            $query .= " LIMIT $limit";  
        }  
  
        return $this->write_query("  
            UPDATE {$this->table_prefix}$table  
            SET $query  
        ");  
    }

发生错误的是这样几句

Php代码

if(is_numeric($value))  
            {  
                $query .= $comma."`".$field."`={$value}";  
            }  
            else  
            {  
                $query .= $comma."`".$field."`={$quote}{$value}{$quote}";  
            }

传过来category的值可能是01002或08003，只要is_numeric($value)为真就是数字类型？！这是什么逻辑。其时mysql能自动处理识别字符型和数字型的差别，升级的1.8版把简单的事情复杂化，错误的逻辑导致bug发生，导致传过来的由数字组成的字符串存入数据库时前面的0丢失。如果前面不为0，就不会出错，这样导致数据一片混乱。

一直以来很欣赏Mybb简洁的代码和漂亮的系统架构，2M代码包括图片CSS等竟然能完成如此多的功能，给予用户良好的扩展能力。没想到翻出这样一个bug，见笑了。1.6至1.8改动很大，发布过于仓促。总体说来，Mybb不失一个漂亮简洁的php论坛。

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

使用數據庫存儲會話的優點是什麼？Apr 24, 2025 am 12:16 AM

使用數據庫存儲會話的主要優勢包括持久性、可擴展性和安全性。 1.持久性：即使服務器重啟，會話數據也能保持不變。 2.可擴展性：適用於分佈式系統，確保會話數據在多服務器間同步。 3.安全性：數據庫提供加密存儲，保護敏感信息。

您如何在PHP中實現自定義會話處理？Apr 24, 2025 am 12:16 AM

在PHP中實現自定義會話處理可以通過實現SessionHandlerInterface接口來完成。具體步驟包括：1)創建實現SessionHandlerInterface的類，如CustomSessionHandler；2)重寫接口中的方法（如open,close,read,write,destroy,gc）來定義會話數據的生命週期和存儲方式；3)在PHP腳本中註冊自定義會話處理器並啟動會話。這樣可以將數據存儲在MySQL、Redis等介質中，提升性能、安全性和可擴展性。

什麼是會話ID？Apr 24, 2025 am 12:13 AM

SessionID是網絡應用程序中用來跟踪用戶會話狀態的機制。 1.它是一個隨機生成的字符串，用於在用戶與服務器之間的多次交互中保持用戶的身份信息。 2.服務器生成並通過cookie或URL參數發送給客戶端，幫助在用戶的多次請求中識別和關聯這些請求。 3.生成通常使用隨機算法保證唯一性和不可預測性。 4.在實際開發中，可以使用內存數據庫如Redis來存儲session數據，提升性能和安全性。

您如何在無狀態環境（例如API）中處理會議？Apr 24, 2025 am 12:12 AM

在無狀態環境如API中管理會話可以通過使用JWT或cookies來實現。 1.JWT適合無狀態和可擴展性，但大數據時體積大。 2.Cookies更傳統且易實現，但需謹慎配置以確保安全性。

您如何防止與會議有關的跨站點腳本（XSS）攻擊？Apr 23, 2025 am 12:16 AM

要保護應用免受與會話相關的XSS攻擊，需採取以下措施：1.設置HttpOnly和Secure標誌保護會話cookie。 2.對所有用戶輸入進行輸出編碼。 3.實施內容安全策略(CSP)限制腳本來源。通過這些策略，可以有效防護會話相關的XSS攻擊，確保用戶數據安全。

您如何優化PHP會話性能？Apr 23, 2025 am 12:13 AM

优化PHP会话性能的方法包括：1.延迟会话启动，2.使用数据库存储会话，3.压缩会话数据，4.管理会话生命周期，5.实现会话共享。这些策略能显著提升应用在高并发环境下的效率。

什麼是session.gc_maxlifetime配置設置？Apr 23, 2025 am 12:10 AM

theSession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata，setInSeconds.1）它'sconfiguredinphp.iniorviaini_set（）.2）abalanceisesneededeededeedeedeededto toavoidperformance andunununununexpectedLogOgouts.3）

您如何在PHP中配置會話名？Apr 23, 2025 am 12:08 AM

在PHP中，可以使用session_name()函數配置會話名稱。具體步驟如下：1.使用session_name()函數設置會話名稱，例如session_name("my_session")。 2.在設置會話名稱後，調用session_start()啟動會話。配置會話名稱可以避免多應用間的會話數據衝突，並增強安全性，但需注意會話名稱的唯一性、安全性、長度和設置時機。

See all articles