搜索

首页  >  问答  >  正文

php PDO 用可编辑值替换查询中的匿名参数('?')

<p>我想要一种方法来显示 SQL 查询在用实际参数替换匿名参数 (<code>?</code>) 时的外观。</p><p> 这<strong>仅</strong>用于可读性目的和调试,不会用作实际查询。</p> <p>我发现这个函数在大多数情况下都有效:</p> <pre class="brush:php;toolbar:false;">return array_reduce($this->bindValues, function ($sql, $binding) { return preg_replace('/\?/', is_numeric($binding) ? $binding : '"' . $binding . '"', $sql, 1); }, $this->query);</pre> <p>更换?与实际值:</p> <pre class="brush:php;toolbar:false;">$data = array( 'item' => '1, 'type' => 'Are you ok.' );</pre> <pre class="brush:php;toolbar:false;">UPDATE `list` set `item`=?,`type`=? WHERE (`id` = ?) ; UPDATE `list` set `item`="1",`type`="Are you ok." WHERE (`id` = 1) ;</pre> <p>但是如果该值包含 ?我最终得到的是:</p> <pre class="brush:php;toolbar:false;">$data = array( 'item' => '1, 'type' => 'Are you ok?' );</pre> <pre class="brush:php;toolbar:false;">UPDATE `list` set `item`="1",`type`="Are you ok2" WHERE (`id` = ?) ;</pre> <p>我怎样才能做到这一点,所以只能绑定?已被替换。</p>
P粉654894952P粉654894952481 天前541

全部回复(1)我来回复

  • P粉619896145

    P粉6198961452023-09-03 10:06:17

    首先,考虑使用命名参数而不是<代码>?。在这种情况下,您不需要替换任何内容:命名参数清晰且相当容易在日志中显示,并且大多数 dbms 客户端都支持用于调试目的。

    如果命名参数不可行(由于当前代码库较大或任何其他原因),您有两种主要方法:

    1. 使用 SQL 查询解析器。它将产生最可靠的结果。
    2. 使用某种自己编写的“替代者”。它的结果永远不会是理想的或完全可靠的,但在性能和开发方面都应该很快。

    如果您选择后一种方式,这里是如何快速而肮脏地完成它的示例:

    分多个步骤进行替换:

    1. 通过将 ? 替换为其他极不可能出现在参数或查询中的内容来准备参数。例如\?
    2. 使用正则表达式替换参数,这将匹配 ?,但不会匹配第一步中的替换。如果用 \? 替换,则为 (?
    3. 将结果中的所有 \? 替换为 ?

    注意:此替换的结果不应永远用作程序中的查询。这种替代有可能实现以下任何或所有功能:

    • SQL 注入,
    • 如果初始查询包含 ? 而不是作为参数(例如在注释中),结果不准确,
    • 如果初始查询或任何参数包含替换字符串(在我们的示例中为 \?),结果将不准确。
    <?php
    $query = 'UPDATE `list` set `item`=?,`type`=? WHERE  (`id` = ?);';
    $params = array(
        'item' => '1',
        'type' => 'Are you o\'k?',
        'id'   => 2
    );
    
    function substitute_params($query, $params) {
        $prep_params =  str_replace(array("'","?"),array("''","\?"),$params);
        $query = array_reduce($prep_params, function ($interm, $param) {
            return preg_replace('/(?<!\\)\?/m', 
                is_numeric($param) ? $param : '\'' . $param . '\'', 
                $interm, 
                1);
        }, $query);
        return "-- Not to be used as a query to database. For demonstration purposes only!\n"
          .str_replace("\?", "?", $query);
    }
    echo substitute_params($query, $params);
    ?>
    

    输出:

    -- Not to be used as a query to database. For demonstration purposes only!
    UPDATE `list` set `item`=1,`type`='Are you o''k?' WHERE  (`id` = 2);
    

    编辑:要尝试降低常量字符串和带引号的名称内问号的影响,您可以尝试使用此替换:

            return preg_replace('/^([^"\'`]*?(?:(?:`[^`]*?`[^"\'`]*?)*?(?:"[^"]*?"[^"\'`]*?)*?(?:\'[^\']*?\'[^\'"`]*?)*?)*?)(?<!\\)\?/m', 
                ''.(is_numeric($param) ? $param : '\'' . $param . '\''), 
                $interm, 
                1);
    

    它仅替换用 "`' 引用的块之外的 ?

    可以在此处查看演示。

    请记住,这不是完全成熟的解析器。例如,它不知道评论。因此错误替换的可能性仍然很大。

    回复
    0
  • 取消回复