Класс для безопасной и удобной работы с MySQL

Денис, 19.10.24 14:08

Очень удачный класс, частенько использую

ALex, 19.11.23 23:20

Как доработать класс, чтобы осуществлялось переподключение при падении сервера Мускл? Типа try-catch.

ALex, 19.11.23 23:20

Как доработать класс, чтобы осуществлялось переподключение при падении сервера Мускл? Типа try-catch.

Дмитрий, 16.05.23 08:36

В продолжение предыдущего поста.
1. В строке 146:
было: * @param resource $result - myqli result
стало: * @param mysqli_result $result - mysqli result
Функции getOne, getRow, например, отработала норм. Дальше тестировать не стал.
2. В строке 178:
было: * @param resource $result - myqli result
стало: * @param mysqli_result $result - mysqli result
Предполагаю, что тоже всё норм. Не тестил.
3. Не актуально. По ошибке взял старую версию.

Дмитрий, 15.05.23 21:41

Очень классный класс! ))
Но в vscode+PHP 8.1 (тоже в 7.4) выдаёт 3 ошибки:
1. [{"resource": safemysql.class.php",
"owner": "_generated_diagnostic_collection_name_#1",
"code": "1006",
"severity": 8,
"message": "Expected type 'mysqli_result'. Found 'resource'.",
"source": "intelephense",
"startLineNumber": 152,
"startColumn": 31,
"endLineNumber": 152,
"endColumn": 38
}]
2. Тоже самое в стр. 183.
3. [{ "resource": "safemysql.class.php",
"owner": "_generated_diagnostic_collection_name_#1",
"code": "1006",
"severity": 8,
"message": "Expected type 'int'. Found 'null'.",
"source": "intelephense",
"startLineNumber": 493,
"startColumn": 48,
"endLineNumber": 493,
"endColumn": 52
}]

Каа, 01.05.23 13:16

о, на гитхабе написано что нужно чтоб работало на php8.2

Каа, 01.05.23 12:24

а чо в php8 не работает?

Алекс, 12.04.23 10:20

Это самая лучшая и быстрая библиотека для работы с mysqli
Перепишите пожалуйста на PHP 8, я хочу продолжать использовать ее в своих новых проектах, чтобы не выдавало никаких предупреждений и ошибок.
Пробовал использовать другие, они совсем неудобные.
Заранее благодарю

Андрей, 20.10.22 19:19

Добрый день!
Подскажите, пожалуйста, каким образом можно получить например 10 записей из таблицы с NULL в поле?

Что-то вроде
$sql=getAll('SELECT id FROM table WHERE field1=?s GROUP BY id LIMIT ?i', is null, 5);

Анна, 21.08.22 16:03

Можно ли сделать этот код INSERT универсальным? Чтобы можно было передать массив и при помощи его ключей и значений сделать запрос.
$table = 'page';
$data = [
'title' => 'пример',
'url' => 'test3',
'content' => 'hello',
'active' => '1'
];
$sql = "INSERT INTO $table (title, url, content, active) VALUES (?s,?s,?s,?s)";
$data = $this->db->query($sql, $data['title'], $data['url'], $data['content'], $data['active']);

Грубо говоря сделать таким:
$keys= array_keys($data);
$sql = $this->db->query("INSERT INTO $table ($keys) VALUES ($data)", $data);

Ответ:

Добрый день, Анна!

Да, конечно. Для этого есть специальный плейсхолдер ?u (и и ещё надо использовать ?n для имени таблицы)

$table = 'page';
$data = [
'title' => 'пример',
'url' => 'test3',
'content' => 'hello',
'active' => '1'
];
$db->query("INSERT INTO ?n SET ?u",$table, $data);

Дело в том, что Mysql поддерживает синтаксис SET не только для UPDATE но и для INSERT запросов. Очень удобно.

Пишите, если будут ещё вопросы.

t, 22.01.22 16:29

Здравствуйте, во первых спасибо за класс, использую его уже не первый год.

Появилась необходимость создать универсальную функцию которая бы возвращала данные о пользователе, со всеми аргументами и условиями и чтобы естественно безопасно при помощи плейсходлеров. Так она выглядит:

User::getData(array('id', 'i', $_GET['id']));

public static function getData($args, $fields = 'id', $cond = 'AND active = 1 AND banned = 0') {
return call_user_func_array(
array($GLOBALS['db'], 'getOne'), array("SELECT {$fields} FROM users WHERE ".$args[0]." = ?".$args[1]." {$cond}", $args[2])
);
}

Подскажите, разумный ли это подход или есть более корректная реализация такого способа?

Ответ:

Здравствуйте.

Если честно, то в этом коде использовано очень много плохих решений. Сплошная магия. Мы экономим себе пару символов при написании кода, но зато потом, когда надо будет разбираться, почему код не работает, или придется его модифицировать, то будет очень больно. Но это всё относится к самой архитектуре - статическим методам, глобалсам.

я бы все-таки делал метод динамическим, а $db - свойством класса.

Если же говорить о функции, то она не выглядит безопасной. $fields передается не через плейсхолдер. значения в $cond передаются не через плейсхолдер. список полей вообще нет смысла ограничивать в запросе, если мы запрашивает одну строку. Проще отфильтровать нужные на выходе.

Я бы сделал так

function getData($id, $active = 1, $banned = 0)
{
$sql = "SELECT * FROM users WHERE id=?s AND active=?s AND banned = ?s;
return $this->db->getRow($sql, $id, $active, $banned);
}
echo $user->getData($_GET['id'])['id'];

Если нужны другие варианты условий, то собирать запрос динамически но обязательно с плейсхолдерами.

Кстати, сам я этим классом много лет уже не пользуюсь. Чистый PDO в целом устраивает для большинства задач.

Арт, 12.11.21 22:41

Полезный класс, уже не первый год использую в своих проектах. Спасибо

Алексей, 05.09.21 20:10

Благодарю за ответ)

А вы не переписывали под Singleton или не планируете?

Алексей, 05.09.21 16:37

Кто-нибудь переписал данный класс на singleton, чтобы можно было обращаться с других классов не передавая объект в класс?

В данный момент у меня такое подключение
$db = new SafeMySQL();
$Services = new Services($db);

class Services {
protected $db;

public function __construct(SafeMySQL $db){
$this->db = $db;
}
}

Ответ:

Как раз public function __construct(SafeMySQL $db){ - это и есть правильный способ. Не надо его менять на неправильный.

Рекомендую почитать про depencency injection и почему это хорошо, а синглтон - плохо

Алексей, 05.09.21 16:22

Приветствую! Пользуюсь данным классом уже несколько лет. Еще не видел более удобнее и проще.
Но возникла одна проблемка, у меня в таблице есть поле с типом numeric, при редактировании записи, если поле пустое, то передается в запрос строка (growth = '') из-за чего выдается ошибка, что тип не соответствует integer.
Не планируете ли вы модифицировать класс таким образом, что в списке разрешенных полей можно будет указывать тип.

Например вместо
$this->allowed = array(
'employeeID',
'growth',
'weight',
'recommendations'
);

$this->allowed = array(
'employeeID' => 'i',
'growth' => 'i',
'weight' => 'i',
'recommendations' = 's'
);

Ответ:

Здравствуйте, Алексей.

Насколько я понимаю, проблема не в классе, а в БД, которая, действительно, не принимает строки вместо чисел.

Чтобы не было ошибки, просто передавайте число вместо пустой строки, например $growth = (int)$growth;

Kyryll, 30.08.21 14:01

Kyryll, 30.08.21 13:40 - вопрос снят.

Kyryll, 30.08.21 13:40

здравствуйте.
какой парсер нужно использовать для вставки json?
таблица innodb, поле типа longtext utf8mb4_bin - вставка с парсером ?s не происходит.

Kyryll, 11.08.21 18:23

Здравствуйте.
Привидите, пожалуйста, пример вложенного SELECTа
как передавать аргументы для вложенного запроса?

Ответ:

Здравствуйте.

Разницы нет никакой. Синтаксис SQL никак не связан с плейсхолдерами.
Вложенный селект это такая же часть основного запроса, как и любая другая. Ну вот дурацкий пример, только чтобы показать принцип:

"SELECT *, (SELECT id FROM users WHERE email=?s) as email FROM books"

Виктория, 16.12.20 11:07

Подскажите, пожалуйста, как при помощи этого класса сделать добавление в две таблицы.
Есть таблица для товаров и отдельная для фоток, а как сделать так, чтобы при добавлении нового товара одинаковый id создавался и для товара и для фото в другой таблице?
Сейчас код такой:
$sql = "INSERT INTO products (article,url,name,price) VALUES (?s,?s,?s,?s)";
$data = $db->query($sql,$article,$url,$name,$price);

foreach($arr as $image) {
$sql = "INSERT INTO gallery (id_products, image, date) VALUES (?s,?s,?s)";
$data = $db->query($sql,$id_products, $image, $date);
}
Товар добавляется и фотки в другой таблице, но, конечно же, фото не имеет id добавленного товара.

Ооооооочень надо!!!

Ответ:

Добрый день.

Для получения id только что вставленной записи служит метод $db->insertId()

то есть вместо

$data = $db->query($sql,$article,$url,$name,$price);

надо написать

$db->query($sql,$article,$url,$name,$price);
$id_products = $db->insertId();

Виктория, 17.11.20 14:22

Добрый день, помогите с ответом. Как можно передалать этот код под safemysqlclass ?
$url = mysql_real_escape(implode($arr,','));
$result = mysql_query ("INSERT INTO data_contacts (images) VALUES ('$url')");

Ответ:

Добрый день.

Вообще-то это изначально нехороший код, никогда не надо хранить в базе данных значения через запятую. Для этого нужно сделать отдельную таблицу и каждое значение записывать в свою ячейку.

Но в целом такой код меняется на

$url =implode($arr,',');
$db->query("INSERT INTO data_contacts (images) VALUES (?s)", $url);

Дмитрий, 14.11.20 11:33

Подскажите, пожалуйста, как проверить наличие уже существующей записи в БД при добавлении новой? Чтобы избежать дублей.
Читаю примеры и аболютно не могу понять, как работать с этим классом.
Объясните на примере вот такого участка кода:

$sql = "INSERT INTO users (login,name,phone,email,password,hash,email_confirmed) VALUES ('$login','$name','$phone','$email','$password','$hash', 1)";
$data = $db->query($sql);

Ответ:

Здравствуйте Дмитрий.

Проверка - это обычный запрос SELECT

$exists = $db->getOne("SELECT 1 FROM users WHERE email=?s", $email);
if (!$exists) {
$sql = "INSERT INTO users (login,name,phone,email,password,hash,email_confirmed)
VALUES (?s,?s,?s,?s,?s,?s, 1)";
$db->query($sql, $login,$name,$phone,$email,$password,$hash);
}

Артур, 22.10.20 16:00

Здравствуйте, а где собственно кнопка для скачивания класса?

Арсений, 18.07.19 21:52

Здравствуйте!
Привык не запрашивать все поля без необходимости, но не нашел, как реализовать что-то вроде SELECT ?f FROM..... $fields... где $fields = array('foo','bar');
Добавил в Ваш класс Вашу же слегка видоизмененную функцию:
private function multiIdent($data)
{
if (!is_array($data))
{
$this->error("Defined columns for SELECT (?f) placeholder should be array");
return;
}
if (!$data)
{
return 'NULL';
}
$query = $comma = '';
foreach ($data as $value)
{
$query .= $comma.$this->escapeIdent($value);
$comma = ",";
}
return $query;
}
Разумеется, добавил описание плейсхолдера в свиче и в проверку соответствия количества плейсхолдеров и подставляемых данных в регулярку в функции prepareQuery(). Все работает, но прошу подтвердить безопасность кода новой функции. Спасибо!

Russia9, 19.06.19 17:43

Не нашел способа подключения к удаленной базе данных. Это возможно?

Иван, 14.06.19 12:58

Хоть вы и говорите, что класс уже древний, но со своими обязанностями он справляется более чем) Спасибо за него)
Можно такой вопрос немного не в тему: есть скрипт, который в cli должен работать вечно и гарантированно (никаких дублей!) только в одном потоке (процессе, инстансе) (независимо от того, остановился скрипт санкционированно (например, exit() в коде) или из-за нехватки ресурсов на сервере умер процесс или я его сам kill'ом убил из консоли или сервер перезагрузился - в общем хоть атомный взрыв - но если сервер жив, то фоном должен жить и этот процесс: если умер - запуститься заново итд). Смотрел в сторону ReactPHP, но там так всё наворочено, жесть. Может у вас есть какое-то своё простое готовое решение для этого? Или что-то из публичного, возможно, можете порекомендовать?

Ответ:

Здравствуйте, Иван.

Спасибо за добрые слова, хотя класс все равно устарел, конечно :)

Самы простой способ - это просто бесконечный цикл. Пишется скрипт на баше, вот такой

while true
do
php script.php
done

и запускается в фоне.
При умирании script.php он тут же запустится заново

Дмитрий, 10.04.19 09:35

Спасибо за класс, использую не первый год и не на одном проекте.

Виктор, 31.03.19 22:21

Здравствуйте.
Выбираю способ работы с MariaDB. Задача: обработка таблиц (около 10-ти колонок). Активные запись, чтение и обновление.
Какое преимущество или недостаток класса SafeMySQL перед использованием RedBeenPHP?

Ответ:

Здравствуйте, Виктор!

Ни то ни другое. Оба проекта довольно сильно устарели. Я бы порекомендовал Atlas ORM или Idiorm вместо них.

Но в целом, для простых скриптов sqfemysql вполне подходит, поскольку является очень простой надостройкой над чистым SQL, добавляя только плейсхолдеры различных типов.

Иван, 07.03.19 14:52

Добрый день!
На одном не сильном vps круглосуточно выполняются несколько php-процессов, и SafeMySQL иногда выбрасывает исключения такого плана:
Fatal error: Uncaught exception 'Exception' with message 'SafeMySQL: MySQL server has gone away. Full query: [SELECT...
То, что можно/нужно отловить catch - это понятно.
Вопрос в том, что в моём случае на самом деле ничего с БД фатального не происходит, и повторный запуск скрипта или повторное выполнение sql-запроса происходит успешно.
Как бы в случае "MySQL server has gone away" заставить SafeMySQL просто повторно выполнить текущий запрос (при необходимости реанимировав подключение к БД), не оборачивая в моём коде каждый запрос в try..catch?

Например, в функции error() перед throw дописать:
if(stripos($err, 'mysql server has gone away') !== false){
sleep(2);
[повторное выполнение текущего запроса]
}

Вопрос что имеено прописать в квадратных скобках?)

Ответ:

Добрый день, Иван!

Вы все правильно рассудили.
Только, действительно, надо заново соединяться.
Так что код из конструктора надо вынести в отдельную функцию, вызывать ее в конструкторе, и также внутри скобок перед выполнением запроса повторно

Referer, 20.02.19 16:18

To Miron, в чем заключается уязвимость? Запустил приведенный вами код из комментария, никаких ошибок. И в чем смысл приведенного кода в песочнице, где связь?

Ответ:

Товарищ немного ошибся в терминологии.
Это не уязвимость, а ошибка. Действительно, модификатор /u приводит в некоторых случаях к ошибке в регулярном выражении.

Я наверное уберу модификатор /u и тогда парсер будет рассматривать запрос как бинарную строку, и ошибки не будет

А связь в том, что эта ошибка порождает еще одну, уже из-за бага в РНР.
На самом деле я сейчас думаю что добавлять запрос в сообщение об ошибке было неправильной идеей. Если в запросе встречаются непечатные символы, то РНР падает при попытке добавить текст запроса как message в исключение.

Miron, 08.02.19 04:30

Решение - убрать модификатор "u" из preg_split и удалить все непечатные символы из сообщения об ошибке в функции error():
$err = preg_replace( '/[^[:print:]\r\n]/', '', $err);

Воспроизвести баг можно тут:
sandbox.onlinephpfunctions.com/code/0010e95a4bec4f6a4521ad58af90db256db6224b

Miron, 08.02.19 04:28

В вашем классе я нашел серьезную уязвимость. Попробуйте запустить такой запрос:
...
$opt['exception'] = Exception; //(AS default или любой класс исключения)

$ip = inet_pton('119.252.33.170');
$query = 'SELECT ip FROM table WHERE ip = ?s';
$safemysql->getAll($query, $ip);

Уязвимость связана багом в PHP, из-за которого при передаче некоторых непечатных символов в качестве сообщения для встроенного класса Exception этот класс вместо того, чтобы возвращать ошибку, сам её вызывает. Также проблема возникает в функции prepareQuery() в строке, где запрос разбивается на части:
$array = preg_split('~(\?[nsiuap])~u',$raw,null,PREG_SPLIT_DELIM_CAPTURE);
Из-за непечатного символа, регулярное выражение не срабатывает.

Mister_X, 23.01.19 17:40

Доброго времени суток!
Подскажите у меня есть файл который отвечате за подключение к БД config.php я хочу через include его подключить и с помощью переменных передать данные к подключению к БД как это правильно сделать?

Сергей, 20.12.18 17:32

давно использую ваш класс, сейчас возникла проблема: мне по тексту часто надо сохранять урл в которых ест вопосы ?u ?s ну какие то параметры
естественно класс не срабатывает и вдается исключение, есть ли возможность выполнить запрос без плэйсехолдеров?

Ответ:

Сергей, здаврствуйте.

Сорри за задержку с ответом, был в отпуске.

При правильном использовании класса никаких проблем со знаком вопроса быть не должно. Поскольку текст запроса парсится только 1 раз.

Запрос вида

$db->query("INSERT INTO table (url) VALUES (?s)", "/?id=1");

работает без проблем.

Если у вас вылаетает ошибка, то, возможно, класс используется неправильно. Можете написать свой код?

Евгений, 01.11.18 13:12

Добрый день!
Мне очень нравится Ваш класс, активно использую его в работе многие годы. Хотел уточнить, почему Вы не используете корректное версионирование для composer пакетов? Как вы относитесь к semver?

Артем, 13.10.18 11:31

забыл про порт, извините

Артем, 13.10.18 11:25

При попытке подключиться к удаленной БД появляется ошибка Fatal error: in ...\safemysql.class.php on line 623
$db_config = array('host' => 'xx.xxx.xxx.xxx/bdlink/','user' => 'xxx', 'pass' => 'xxx', 'db' => 'xxx, 'charset' => 'utf8'');
$db = new SafeMySQL($db_config);

В чем может быть проблема?

Иван, 05.10.18 17:08

цепляю класс на новом сервере - выбивает пару нотисов и дальше скрипт не исполняет:

Notice: Use of undefined constant MYSQLI_ASSOC - assumed 'MYSQLI_ASSOC' in /usr/local/www/apache24/data/test.php on line 4

Notice: Use of undefined constant MYSQLI_NUM - assumed 'MYSQLI_NUM' in /usr/local/www/apache24/data/test.php on line 4

с чем может быть связано?

Ответ:

Здравствуйте, Иван!

Это связано с тем, что на сервере не подключено расширение mysqli.
Надо его подключить и тогда класс заработает.

Иван, 25.09.18 17:53

Очень крутой, простой и удобный в использовании класс! Вопрос такой: нет случайно у вас готового класса для работы с post/get-данными? А то такая каша со всеми этими ретро магическими кавычками, проверками, их включениями/отключениями, одинарными и двойными кавычками, экранированием, обратными слэшами, инъекциями, add(c)slashes, htmlentities, htmlspecialchars и т.д.
Задача-то в целом тривиальная:
1) получаем данные через поля формы,
2) в случае непрохождения валидации любые значения введённые пользователем (хоть слэши, хоть любые виды кавычек, хоть html, хоть php) выводим в НЕИЗМЕННОМ виде обратно пользователю а) либо в статике html, б) либо в textarea или value тех же самых полей, в которые он их ввёл ранее, с просьбой исправить,
3) в случае прохождения валидации insert into mysql (тут всё ясно - указанный выше класс справляется на ура),
4) select from mysql и вывод данных в браузер (опять же два варианта: либо в textarea или value инпутов, либо в статичном html).

Ответ:

Здравствуйте, Иван!

Спасибо за хороший вопрос.
На самом деле тут всё ещё проще :)

Чтобы вывести данные в неизменном виде, как в поле формы, так и в статичный HTML, их надо обработать функцией htmlspecialchars() c флагом ENT_QUOTES и указанием кодировки. Это всё.

Единственное исключение - когда мы сохраняем HTML и его надо вывести как есть. Тогда при выводе в статичный HTML никаких функций не применяем. Но сохранять в базу HTML надо с осторожностью, а лучше эжтого вобще никогда не делать - для форматирования есть markdown например.

Все остальные упомянутые функции либо устарели, либо дублируют друг друга, либо не имеют отношения к данному вопросу.

Пишите, если у вас остались ещё вопросы!

Роман, 04.09.18 00:04

Пытаюсь разобраться с safemysql. Спасибо. Идея интересная. Но не хватает более привычной документации. Не могу понять parse. Она упоминается, она есть в примерах... У меня на вкладках открыт почти весь раздел, а я так и не могу понять как ее использовать. Или вот query($query,$param1,$param2, ...) - возвращает mysqli resource. аналог mysqli_query и пр.
$param1,$param2 - например отсутствует в аналоге. Наверное можно понять по примерам, но это время.

Денис, 17.08.18 04:54

Тесты провел и ответ был именно в том что чистый класс работает.
1. Сторонний скрипт добавляет в базу во временный столбец и выводит нормально. - дефолт
2. Сторонний скрипт добавляет в базу в мой столбец и выводит нормально. - кодировка столбцов и базы в поряке
3. Сторонний скрипт добавляет и выводит во временный столбец из моего кода мои данные правильно. - поступаемые данные впорядке
4. Сторонний скрипт непосредственно из моего скрипта добавляет в базу в мой столбец неправильно выводит непправильно. - ?
5. Сторонний скрипт добавляет во временный столбец (елаем его не временным) из моего кода мои данные неправильно.

Денис, 17.08.18 04:52

Прошу прощения, моя невнимательность потратила ваше время.
if (DOMAIN == 'youtub.local') {
return array(
'user' => 'mysql',
'pass' => 'mysql',
'db' => 'denisul4_youtub'
);
} else {
return array(
'charset' => 'utf8mb4',
'user' => '',
'pass' => '',
'db' => ''
);
}
Передовал кодировку не всем базам (опенсервер не получал)

Ответ:

Денис, нет проблем, я был рад помочь!

Денис, 16.08.18 16:08

Спасибо за помощь буду разбираться

Денис, 16.08.18 15:12

клас Ваш наследую при обоих вариантах вопросики все равно остаются

Ответ:

Разумеется, тест надо проводить на чистой версии safemysql. Если на ней работает, а на унаследованной версии нет - надо смотреть, что не так с вашей версией.

Денис, 16.08.18 15:11

if(count($json)) {
$array_insert['videoId'] = $json['items'][0]['id']; // ID видео
$array_insert['publishedAt'] = $json['items'][0]['snippet']['publishedAt']; // Дата загрузки
$array_insert['channelId'] = $json['items'][0]['snippet']['channelId']; // ID канала
$array_insert['channelTitle'] = $json['items'][0]['snippet']['channelTitle']; // Название канала
$array_insert['title'] = $json['items'][0]['snippet']['title']; // Заголовок
$array_insert['description'] = $json['items'][0]['snippet']['description']; // Описание

$this->query('INSERT INTO videos SET ?u', $array_insert);
}

Ответ:

Денис, проблема заключается в том, что здесь вы не видите те данные, которые заносите в базу данных.
Чтобы найти проблему, надо её изолировать.

Начать при этом надо с чистого теста, в котором нет ничего, кроме вставки и получения данных из базы. Вот тестовый код, который показывает, что нет никаких проблем связанных с базой данных и расширенными символами Юникода:

$db = new safemysql(['charset' => 'utf8mb4']);
$db->query("CREATE TEMPORARY TABLE safemysql_charset_test(t varchar(255)) CHARACTER SET utf8mb4");

$input = json_decode('{"t":"2018 \ud83c\udf79 hits \ud83c\udf79 2018"}', true);
var_dump($input);
$db->query("INSERT INTO safemysql_charset_test SET ?u", $input);

$out = $db->getRow("SELECT * FROM safemysql_charset_test");
var_dump($out);

Убедившись, что этот код работает, попробуйте добавить в него свои данные. Если они будет испорчены - смотрите, что передаёте.

Денис, 16.08.18 15:07

Обработка происходит у вас в комментах

Денис, 16.08.18 13:31

♫????BASS BOOSTED???? вот так первый символ нотка занесся нормально а 2 других вопросиками - это заголовки видео ютюб

Ответ:

Денис, спасибо за дополнительную информацию.

Насколько я вижу, строка проходит какую-то обработку (символ юникода превращается в HTML entity). Я думаю, что именно эта обработка и портит строку. Добавьте исходную строку в базу данных безо всякой обработки ,и вы увидите, что она сохраняется без проблем.

Денис, 16.08.18 13:29

Просто вопросики, смотрю именно через phpmyadmin

Денис, 16.08.18 13:22

Спасибо что отвечаете, но нет вбазе кодировка по полям utf8mb4, в класс переда 'charset' => 'utf8mb4 вопросики

Ответ:

Здравствуйте, Денис.

Вообще, это очень странно, такого не должно быть.
Если кодировки совпадают, то все должно заноситься и выводиться корректно.
А если смотреть через консоль/phpmyadmin?

Кстати, а какого вида вопросики? простые или в черных ромбах? Если второе, то это кодировка HTML, надо добавить соответствующий НТТР заголовок

Денис, 10.08.18 13:43

параметр передаю 'charset' => 'utf8mb4' и у столбца тоже кодировка utf8mb4 вместо символов вопросики

Ответ:

Денис, вопросики получаются потому, что раньше кодировка была настроена неправильно.
Для вновь введенных данных все будет работать правильно

Денис, 10.08.18 06:32

Здравствуйте
mysqli_real_escape_string - устарела?
При добавлении в базу данных массивом в поле varchart 255 utf-8 теряются спец символы, пример: 🍀 Зарубежные песни

Ответ:

Здравствуйте, Денис!

Это проблема с кодировками.
Проверьте, что кодировка как поля в базе, так и соединения - utf8mb4.
Стандартный utf8 не поддерживает расширенный набор символов Юникода.

Артур, 25.07.18 18:40

Здравствуйте, безопасно ли передавать параметры на SELECT следующим образом:

$db->getAll("SELECT * FROM table WHERE id = {$_POST['id']});

То есть мы не устанавливаем фильтр ?s и к тому же в переменной может быть любое значение так как его формой отправляет пользователь сайта.

Ответ:

Здаравствуйте, Артур!

Разумеется, так будет небезопасно.

Anti99, 16.07.18 02:56

А вот как бы гармонично создать на сервере новую базу и сразу получить ее в $db ?
Спасибо!

Виктор Андреевич, 06.05.18 09:50

Спасибо за разъяснение! Удачи в делах!

Виктор Андреевич, 04.05.18 20:54

Здравствуйте! Много времени пользуюсь вашим классом. Очень нравится простота и надёжность.

Подскажите, можно ли посредством класса осуществлять подключение не к одной а к двум базам? Могли бы вы привести пример?

Ответ:

Здравствуйте, Виктор Андреевич!

Конечно, это возможно.
Просто вместо одного объекта надо создать два:

$db = new SafeMySQl(...параметры первого подключения...);
$db2 = new SafeMySQL(...параметры второго подключения...);

Либо, если пользователь БД имеет доступ к обеим базам, то можно использовать одно и то же подключение, а при обращении к таблицам второй базы, указывать её явно перед именем таблицы:

// обращаемся к той базе, которую указывали при подключении
$db->query("SELECT * FROM table");
// обращаемся к любой другой базе, если к ней есть доступ
$db->query("SELECT * FROM database2.table");

Но, повторюсь, такое возможно только если обе базы расположены на одном сервере и у пользователя есть доступ к обеим.

лалала, 20.04.18 15:04

А как соединиться с бд на удаленном сервере через $db = new SafeMySQL($opts); ?

Ответ:

Здравствуйте!

Соединяться так же, как и с локальным - в $opts прописать ппараметры доступа к удаленному серверу.

V., 13.04.18 10:10

Фрагмент кода:
( `start` >= ?s AND `start` <= ?s ) OR ( `end` >= ?s AND `end` <= ?s )

Первая и третья ?s — идентичны. Вторая и четвёртая ?s — идентичны.

В конце команды ( int ) $db -> getOne ( ... , $date_a , $date_b , $date_a , $date_b ) ; приходится вписывать переменные повторно в перечислении. Упрощённого синтаксиса нет? Например,
( `start` >= ?s1 AND `start` <= ?s2 ) OR ( `end` >= ?s1 AND `end` <= ?s2 )

Артур, 27.03.18 14:56

Здравствуйте, есть два запроса.

Первый, и второй. Во втором для вставки в одно поле используется значение $db->insertid() предыдущего.

Но задача немного изменилась, и появилась необходимость делать вначале второй запрос, а потом первый, но при этом во втором все так же должно быть значение прошлого insertid.

Не подскажите это вообще возможно реализовать?

Ответ:

Здравствуйте, Артур!

Нет, так сделать нельзя.

можно выполнить второй запрос, запомнить его id, выполнить первый, получить id, и после этого сделать апдейт, добавив ид туда, где он должен быть.

Sanovskiy, 27.03.18 11:55

На весь этот поток сознания я могу ответить тремя буквами:
PDO

И не забывать использовать плейсхолдеры в запросах. И волшебным образом опасность инъекций пропадает.

Ответ:

Здравствуйте Sanovskiy!

Спасибо за замечательный комментарий!
На него я могу ответить двумя вопросами:

1. Какой плейсхолдер позволяет PDO подставить в запрос имя поля (например, если пользователь выбирает, по какому полю делать сортировку)?
2. Какой плейсхолдер позволяет PDO подставить в запрос массив значений (например для оператора IN(...))

Спойлер: никакой ;-)

И бонус-впрос - какой оператор PDO позволяет получить строку из БД в одну строчку, так как это позвоялет SafeMysql:

$row = $db->getRow("SELECT * FROM users WHERE id=?s", $_GET['id']);

Дмитрий, 10.02.18 13:21

На днях решил расширить mysqli класс для удобной и "безопасной" работы с базой, но понял что лучше создать новый класс обвёртку со своими плюшками. Начал его писать, придумал типизацию именованных плейсхолдеров str, int, array, но понял что этого не достаточно. Начал копаться в документации PDO для выбора правильного стандарта на будущее, наткнулся на ваш сайт, а затем на эту страницу. И как осенило, практически всё что я хотел и как я хотел, уже сделано, особенно ?u, как оказалось достаточно простым решением. Немного переписал ваш класс под себя и теперь доволен как арбуз :) Хочу сказать спасибо и выразить благодарность за проделанную работу, это сэкономило мне несколько часов!!!

Ответ Артуру, чтобы таких сюрпризов не было, можно поменять вид ошибок на 'errmode' => 'error'

Артур, 08.02.18 15:04

Здравствуйте, хотел бы вот что узнать. Тестировал на своем сайте изменения, и выводил print_r данные взятые из бд, не знаю как и почему это произошло, но впервые вместе с этим, вывелись данные (похоже которые были прописаны в $opt) то есть логин, пароль и тд. от бд. Хорошо что в то время посторонних людей на сайте не было. Так вот, не подскажите в каких случаях такое может произойти? Ибо я растерян если честно .

Артур, 29.01.18 15:49

Спасибо, то есть правильно делать так:

class News {
private $db;

function __construct($db) {
$this->db = $db;
}
}

$news = new News($db);

И не могли бы вы пожалуйста подсказать, если вам не сложно, чем способ через global плох? Просто я раньше через него подключал SMS.

Ответ:

Здравствуйте, Артур!

Да, на этот раз все правильно.

Насчет global - на самом деле в сети есть очень много материалов, этот вариант уже давно признан негодным.
А плох он потому, что с развитием приложения в какой-то момент нам начинает требоваться больше одного подключения, и тогда придется переписывать весь код. В случае же, когда переменная передается через параметры, то ее можно просто заменить в одном месте.

Но для начинающего, в принципе global можно использовать для таких случаев - для доступа к глобальным ресурсам.

Александр, 29.01.18 09:38

Добрый день, спасибо большое за статью, как раз то, что я искал. Единственный момент, как правильно подключить safemysql.class.php, пробовал вставить в код
include_once 'safemysql.class.php';
Заполнил подключение к БД, сделал тестовый запрос и получил:
Fatal error: Call to a member function getRow() on null in ....

Ответ:

Здравствуйте, Александр!

Скорее всего, это проблема с областью видимости.

Подключать safemysql ии обращаться к ней необходимо вне функций.

Если же нужно обратиться к ней внутри функции, то надо либо передать ее в виде параметра, либо объявить глобальной с помощью global. Но последний вариант не рекомендуется.

Артур, 28.01.18 00:42

Спасибо, подскажите правильно ли я сделал? В свойство класса, передал глобальный экземпляр бд.

class News {
private $db;
function __construct() {
global $db;
$this->db = $db;
}
}

Так же у меня есть другой вопрос, не могли бы вы ответить пожалуйста.

Мне нужно сделать выборку из базы данных, расположенной на другом моем сайте. Так вот, доступ я там открыл.

Теперь в классе (только в одном классе мне нужно получить данные из удаленной бд), я делаю следующее:

class Categories {
private $db;

function __construct() {
//раз соединение будет с другой бд, тогда уже нужно создать новый экземпляр класса safemysql, для подключения по другим данным.
$this->db = new SafeMySql(['host'=>'123', 'db'=>'db]);
}
}

Правильно ли я сделал?

Ответ:

Здравствуйте, Артур!

Ваш вариант не очень удачный, я выше писал, что использование global является самым плохим вариантом. лучше делать по возможности так

class News {
private $db;
function __construct($db) {
$this->db = $db;
}
}

и передавать $db при создании класса.

А насчет второго соединения - все верно. Надо создать ее один экземпляр SafeMySql

Артур, 26.01.18 18:19

Здравствуйте, спасибо разобрался.

У меня новый вопрос. Я хотел бы узнать, как лучше поступить в моем случае, для оптимизации.

На моем сайте есть классы, допустим для новостей, комментариев и тд. Каждый из них Extends SafeMySql.

Так же создан глобальный экземпляр класса, для всего сайта - $db = new SafeMySql, чтобы можно было бы использовать его к примеру в любом коде, функции и тд.

Так вот я подумал, при создании экземпляра класса, который наследует SafeMySql, открывается новое соединение с бд, и так с каждым классом. А не лучше ли будет, в каждом классе где требуется задействовать бд, делать не наследование что приводит к новому соединению, а объявлять global $db (тот глобальный экземпляр что мы создали), и тогда по идее мы избежим нового соединения с бд.

Спасибо.

Ответ:

Здравствуйте, Артур!

Совершенно верно, наследовать свои классы от SafeMySql - это абсолютно неправильно. Соединение в скрипте всегда должно быть только одно, и соответственно объект класса SafeMySql тоже должен быть только один.

В другие же классы он должен передаваться в качестве сервиса. В принципе, global - это вариант, но следует понимать, что это ХУДШИЙ вариант из всех возможных. Идеальным же вариантом будет передавать инстанс SafeMySql в конструктор другого класса, и присваивать приватной переменной класса.

По ссылке ниже можно посмотреть реализацию этого подхода (только для PDO, но это не принципиально). Там же можно посмотреть и другие варианты, если этот не подойдет: https://phpdelusions.net/pdo/pdo_wrapper#dependency_injection

Артур, 18.01.18 14:18

Здравствуйте! Хотел бы вот что узнать. Есть класс, который extends SafeMySql, и я бы хотел для этого класса использовать другую таблицу, а не ту что указана в defaults, файле safemysql.php. Подскажите как это сделать? Пытался примерно так:
function __construct() {
parent::types->default['db'] = 'another db'
}

Не получилось.

Ответ:

Здравствуйте, Артур!

Главное, что необходимо понимать - наследование тут не при чем, подключение к БД происходит в любом случае одинаково. Дефолтные значения вообще никакого значения не имеют - они используются только если параметр явно не задан. Поэтому имя БД надо просто задать, как это описано в документации.

1. При создании соединения имя БД пишется в параметры конструктора:

$db = new SafeMysql(['db' =>'another db', 'host' => ...])

2. если надо поменять БД уже после соединения то выполняем стандартный запрос mysql

$db->query("use `another db`");

Надеюсь, что теперь все ясно.
Если нет - пишите, разберемся

Сергуня, 06.12.17 23:37

Спасибо! Выручил)

Kaa, 21.11.17 01:00

А если бд mssql ?

Артур, 23.10.17 14:39

Здравствуйте, подскажите пожалуйста как подключить сразу несколько баз данных? А то приходится использовать 2 одинаковых файла класса, спасибо!

Ответ:

Здравствуйте, Артур!

Если эти базы данных принадлежат одному и тому же пользователю (то есть для подключения к ним подходит один и тот же логин и пароль), то имя базы данных можно указывать в запросе перед именем таблицы, например

SELECT * from db2.table

Если же пользователи разные - то никак, только два экземпляра класса. Так делается с любыми другими библиотеками - PDO например.

Но два файла при этом не нужно. Просто создаем две переменные,

$db = new Safemysql("host" => "host1");
$db2 = new Safemysql("host" => "host2");

Дмитрий, 23.09.17 08:07

Здравствуйте!
Есть запрос:
select if(@p>=0, @p, 0) as time from tbl_move inner join
tbl_lobby_use on mv_pl=lu_id_pl inner join tbl_lobby on lu_id_lb=lb_id where
mv_pl=?i and @p:=lb_timer-TIMESTAMPDIFF(SECOND, mv_time, now())

ghj,e. connect->query( $sql, $uid )
в консоли все норм, а класс возвращает 0
думаю дело в переменных в запросе, подскажите пож-та, есть ли возможность правильный результат используя Ваш класс? Спасибо.

Ivan, 04.09.17 16:35

Отличный плейсхолдер, всегда боялся их и юзал sql на прямую причем именно через mysql_* ибо давно так привык. Обычно пишу консольные скрипты на пхп и там до лампы до sql инъекций, ну а сейчас встала задача выложить некоторые скрипты в паблик и озадачился этим вопросом, благодаря посту автора на хабре всетаки решился попробовать.

Благо описано все доступно, практически сходу за день переписал всю cms на работу с этим плейсхолдером, кода сократил на 20% не говоря уже о читабельности кода..

Аж сам удивился насколько это удобно особенно ?a в сочетании с getIndCol )) всегда собирал такое через implode из предварительно подготовленного массива что уже само по себе лишних 5-6 строчек кода.

Да и еще всегда пишу в процедурном стиле, в ОПП вобще не понимаю, но тут и не пришлось в нем разбираться.

Автору респект, плейсхолдер реально экономит кучу времени.

Ivan, 04.09.17 12:36

будет ли такой инсер безопасным если не использовать ?u плейсхолдер?
$db->query("INSERT INTO `users` (`email`, `password`) VALUES (?s,?s)", $_POST['email'], $pass);

Ответ:

Здравствуйте, Иван!

Да, конечно, это так же точно безопасно. Плейсхолдер ?u служит чисто для удобства, когда данные для вставки уже лежат в массиве.

Виктор Андреевич, 17.07.17 23:02

Добрый вечер!
При помощи плейсхолдера стараюсь подставить в запрос значение:
"SELECT * FROM `table` WHERE `column` LIKE ?s", "like%".
При этом запрос ищет в колонке все совпадения, в которых есть "l","li","lik","like". А как добиться того, чтобы при помощи запроса поиск шел именно по целому слову "like" + "любые символы"?

Ответ:

Здравствуйте, Виктор Андреевич!

Вы что-то путаете. Приведенный запрос не может вернуть строки, в которых есть "l","li","lik", а только строку, которая начинается с "like".

Если нужно найти строки, которые содержат "like" в любой позиции, то шаблон должен быть таким: "%like%"

coresky, 07.07.17 07:08

Так что этот "большой плюс" фейковый. Фейки можно использовать, когда их можно легко убрать в нужный момент. Но здесь не тот случай.

coresky, 07.07.17 06:33

>большой плюс
Вы хорошо подумали? ) Язык PHP странный. Он гениален во многом, потому так и распространен мощно, но в 15-20% он является полным бредом. Вы же не использовали pdo в чистом виде (его плейсхолдеры) и даже не использовали его серверные возможности подстановок ? в своем классе. Вы написали свой класс. Потому что плейсхлдеры pdo - полный бред. А культивировать бред - тоже бред :) Вы хотите чтобы ваши шаблоны были совместимы с pdo только потому что создатели pdo имеют громкое имя? А если они вам с 9 этажа скажут спрыгнуть? Кстати писать NULL когда перем. PHP = NULL верно и логика такая:
var_dump(mysqli_fetch_row(mysqli_query($db, 'select null')));
еще бы посоветовал, когда BOOL - писать 0 или 1
var_dump(mysqli_fetch_row(mysqli_query($db, 'select 3=3')));
тип BOOL в mysql заменяет 0 или 1

coresky, 06.07.17 13:08

>сделать дефольный плейсхолдер - просто ?
>Так запросы стару станут совместимыми со стандартными mysqli и pdo.
А зачем под кого-то косить? ) Нужно косить под себя ;) Думаете в чистом виде mysqli и pdo реально много опытных программистов используют? Плюс была бы проблема с запросом (или кодом класса), когда знак вопроса нужен в чистом виде: where substr(name,1)="?", так некрасиво: ->parse("where substr(name,1)=?s", '?'), так что лучше из 2 символов, вероятность "некрасивости" будет меньше.

Ответ:

Ну тут все зависит от задачи.
Если делаешь только для себя, то никаких ограничений.
Если делаешь для других, то совместимость с существующими решинями - большой плюс.

coresky, 06.07.17 12:30

>народ там знающий, но иногда несдержанный
Я тут с вами и заговорил, потому что, возможно с одним человеком легче поговорить, чем с кучей невменяемых ;) (последнее не про вас) Плюс вы написали класс, значит не принимали любые ORM, как и я. Я надеялся, что мы найдем общий язык. ОК, я прекращаю писать - просто удалите мои сообщения, которые лишние, я не обижусь. Если уж пойду на "растерзание", то на хабр.. Чуток позже.. ;)

Ответ:

Да нет, тут ни одно сообщение не нужно удалять. Я только рад что идея получила развитие. Я не хочу сказать, что ваш подход неправильный - просто он не соответствует моим личным правилам написания кода, но может подойти кому-то еще.
В конце концов, все новые вещи появлялись наперекор старому :)

coresky, 06.07.17 11:48

Возьмите современные трендовые фреймворк, если вложить столько функционала, сколько есть в моей функции sql() по классам и применить ваш подход "читабельности", то чтобы досконально разобраться как все работает, прийдется бегать из файла в файл (при этом нужно иметь хорошую память, чтобы держать в голове несколько абстракций) и несмотря на то что все self-described, разобраться как реально все работает сложнее и в итоге реальная ситуация такова - не менять, ни читать сорсы Laravel (к примеру) не стоит (99% программистов просто читают документацию и не лезут в сорсы)

Ответ:

Кроме современных фреймворков существуют современные редакторы, которые подсказывают имя функции и ее параметры, как только ты начинаешь печатать. А если и надо "сбегать" в другой файл, то это делается одним кликом по имени функции.
Но чтобы редактор мог это делать, сиходники должны быть написаны в соответствии с определенными правилами.

coresky, 06.07.17 11:29

Мы тут говорим о мелочах, скажут другие, какой плейсхолдер лучше ?s или $+... Но дьявол кроется в детелях. Я готов поговорить о любых деталях, потому что реально ищу истину, а не просто ради прикола спорю

Ответ:

Тогда предлагаю перейти на форум ПХПКлуба, https://phpclub.ru/talk/forums/
поскольку здесь площадка не очень удобная для дискуссий.
Только хочу предупредить, что народ там знающий, но иногда несдержанный. На беспочвенные наезды лучше не обращать внимание.

coresky.net, 06.07.17 09:11

Согласен, невооруженному глазу более понятно что такое $db->getRow("select...) чем sql('-select...). Но дело в том что SQL чрезвычайно часто используется в приложениях, и однажды программист может подумать, да нах. мне писать столько символов strlen('$db->getRow') ==11, если можно написать вместо их только один (плюс sql) итого 4 (экономия 7 символов на каждом запросе).. жаль просто, что многие этого не понимают. И потом, все равно, нужно лезть в документацию в обоих случаях или код смотреть. Однажды привыкнув и получив экономию 7 символов, программист почувствует реальный комфорт. А мои плейсхолдеры $. $+ $$ !! $_... выбраны из тех соображений, чтобы был стимул использовать неинтерполируемую строку в шаблонах SQL запросов, ведь $_ надо эскейпить обратным слешом в интерполируемой, а это в свою увеличивает вероятность защиты от SQL injection. Все начинающиеся с $ безопасны, а !! нужно аккуратно использовать, это тоже выделено

coresky.net, 06.07.17 09:11

А как насчет, с читабельностью с подстановками в шаблоны в sprintf() или $1 при поиске и замене в регулярных выражениях? Чем там лучше, чем синтаксис в моей функции sql()? Вы пишете про префикс в SQL "-" в предыдущем моем сообщении, мол это хуже чем
$db->getRow или про все, в том числе другое в моем решении? Почему придумать синтаксис ?i хорошо, а мой префикс "-" нет? (кстати туда (в ?i) и float ставить не мешало бы, почему вы integer выделили только так? Уж писали бы integer в ?s как и float и не делали лишний ?i). Каков ваш ответ? Без ?i не обойтись, а без "-" можно и нужно?

Ответ:

?i нужно как минимум для LIMIT- ?s там вызовет ошибку. В остальных случаях совершенно верно - можно писать ?s. Я даже сообразил потом, что нужно было сделать дефольный плейсхолдер - просто ?, без буквы, как синоним ?s. Так запросы стару станут совместимыми со стандартными mysqli и pdo.

В первубю очередь я имел в виду - перезд запросом. Но и сама структура функции sql мне тоже не очень нравится - функция перегружена кодом. Я бы по крайней мере вынес часть кода в другое место. Это еще одна причина, по которой код хуже воспринимается.

coresky, 04.07.17 19:42

Мой код сложен для восприятия? Хм... неужели правда?
Функция sql() или как ей пользоваться?
$db->getRow("select... "); # yours easy?
sql('-select... '); #mine

Ответ:

Правда :)
Есть такая штука, называется "читабельность кода". И чем код загадочнее, тем хуже с читабельностью.
Поэтому код, по которому видно, что он делает, всегда легче для восприятия, чем загадочные иероглифы :)

Анатолий, 28.06.17 18:01

Есть ли смысл в запросе на одну строку указывать лимит для ускорения обработки?

getRow("SELECT * FROM users where name=?s LIMIT 1",$_GET['name']);

Ответ:

Здравствуйте, Анатолий!

Спасибо за хороший вопрос.
Ответ на него зависит от структуры БД.
Если поле name в таблице users уникальное (то есть, по нему построен unique index), то добавлять лимит нет смысла - mysql не будет просматривать в этом случае всю таблицу.

Если же индекса нет, то лучше его добавить, чем ставить limit - с индексом в любом случае будет правильнее.

coresky, 26.06.17 18:08

еще хочу заметить, что от SQL injection второго рода, ваш класс никак не защищает, т.е. когда подменяется имя таблицы в "order by" притча о белом списке тут не спасет. Про белый список можно забыть ровно также как забыть заескейпить в голом пхп. Но избавиться от основных SQL injection, когда внедряются кавычки и меняется суть запросов, класс помогает. Так как, навязывает пользование плейсхолдерами, а они, если реализованы без ошибок, будут всегда корректно ескейпить. Хочу для своего проекта, чтото подобное соорудить, но в 3 раза меньше кода ), верю что это возможно и чтобы вероятность SQL injection была на уровне вашего кода (после того как сделаете ?p безопасным )

Ответ:

Здравствуйте, coresky!

Спасибо за столь подробный разбор кода!
Я как раз надеялся что кто-то займется развитием идеи, поскольку сам библиотеку подзабросил.

Согласен про то что белые списки не слишком удобны в пользовании, но если хотя бы использовать плейсхолдер для имени поля, то инъекции все равно не будет - будет просто ошибка запроса.

Я посмотрел ваш код, и мне кажется что "в три раза меньше кода" - это скорее читинг :)
Такой perl-style код очень тяжелый для восприятия. И я уверен, что если его отформатировать и разбить на несколько методов, то там получится ненамного меньше :)

coresky, 26.06.17 13:14

еще:-) IF <quote>// I am paranoid</quote>
то может быть лучше было написать не:
mysqli_set_charset($this->conn, $opt['charset']) or $this->error(mysqli_error($this->conn));
а:
mysqli_set_charset($this->conn, $opt['charset']);
if (mysqli_character_set_name($this->conn) !== $opt['charset']) $this->error(..)

coresky, 26.06.17 12:59

Если без ?p в его текущем варианте функционирования, не обойтись, то нужно честно признаться и добавить ?d (danger), а лучше обозвать ?! И написать, что применять его крайне редко, в исключительных случаях. Работать он будет как нынешний ?p. Еще убрать интерполяцию переменных в строках с двойной кавычкой. Приучиться писать шаблоны запросов в неинтерполируемой строке, типа
$user = $db->getRow('SELECT * FROM users where name=?s', $_GET['name']);
Это будет принуждать пользоваться плейсхолдерами. Так что, добавите третье правило? - "В шаблонах SQL запросов - пользуемся исключительно неинтерполируемой строкой и не используем конкатенацию"

coresky, 26.06.17 12:47

Ошибка(?) в коде: в настройках класса говорится что можно работать НЕ с utf8. А в методе prepareQuery() RegExp '~(\?[nsiuap])~u' - говорит utf8 только, сорри.

coresky, 26.06.17 12:19

еще: раз уж есть ?n, то лучше было бы вместо него сделать 2 похожих ?t (table) и ?c (column). Для ?t можно еще попутно присоединять префикс таблицы.

coresky, 26.06.17 12:06

Чтобы уменьшить опасность ?p можно сделать, чтобы ->parse() возвращал не строку, а объект класса SafeMySQL_parsed (в котором есть маг. метод __toString(), чтобы легко отдавать строку, когда надо). В методе prepareQuery() для ?p не просто написать $part = (string)$value;, а сначала проверить: if (!is_object($value) || !($value instanceof SafeMySQL_parsed)) $this->error(..)

Виктор Андреевич, 15.06.17 01:18

Благодаря документации, размещенной вами на гитхаб, разобрался с заданным вопросом. Прослешивание происходит в классе, все работает здорово.

Виктор Андреевич, 14.06.17 15:23

Подскажите, пожалуйста, правильно я понимаю, что класс сам проводит прослешивание подставляемых в запрос данных?

Сергей, 12.06.17 23:48

Доброй ночи!
Заметил такую ошибку:
я случайно передал в query переменную класс
в итоге ошибка:
Catchable fatal error: Object of class __PHP_Incomplete_Class could not be converted to string in /home/web/0popov.ints.net/htdocs/_projects/nhl/sitef/classes/clsmysql.php on line 568

Можно как то ее поймать и вывести сообщение, что мол друг - ты ошибся?

Ответ:

Здравствуйте, Сергей!

Честно говоря, я не очень понял вопрос.
Если речь о пользователе сайта, то он физически не может передать в запрос объект класса - по HTTP можно передать только строку.
Если же речь о программисте, то ведь полученная ошибка и есть то самое сообщение, с детальным объяснением - в чем именно программист ошибся. Осталось только прочесть и исправить.

Уточните пожалуйста.

Анатолий, 09.06.17 15:38

Надо несколько запросов провести в транзакции.
Вот на таком схематическом примере я в правильном направлении иду?
___SQL___
$db->startTransaction();
$db->select('SELECT balance FROM users WHERE id='.$userid.' FOR UPDATE');
if(!checkUserBalance()) {
$db->commit();
showBalaceExhausted();
die();
}
$db->execute('UPDATE users SET balance=.......');
$db->execute('INSERT INTO operations (...) VALUES(...)')
$db->CommitTransaction();

___SafeMySQL___
$SafeMySql->startTransaction();
$SafeMySql->query("SELECT ?n FROM ?n WHERE ?n=?s FOR UPDATE", 'balance', 'users', 'id', $userid);
if(!checkUserBalance()) {
$SafeMySql->commit();
showBalaceExhausted();
die();
}
$SafeMySql->query("UPDATE ?n SET ?n=?s", 'users', 'balance', ...);
$SafeMySql->query("INSERT INTO ?n SET ?u", 'operations', $values);
$SafeMySql->CommitTransaction();

--
С уважением. Анатолий.

Ответ:

Здравствуйте, Анатолий!

Все примерно так, но только в SafeMySQL нет выделенных методов для транзакций, вместо них следует использовать запросы SQL:

$SafeMySql->query("BEGIN");
$SafeMySql->query("COMMIT");

Денис, 09.06.17 03:51

плейсхолдер ?u пропускает XSS. вот такой плохой код )

Ответ:

Осталось только понять, какое отношение это имеет к SQL
И нет, на этом сайте XSS нет :)

Павел, 30.05.17 11:14

$aText = array('some text 1', 'some text ?n some text', 'some text 2');

array_walk($aText, function(&$item, $key){
$item = $db->parse('(?s)', $item);
});

$db->query('insert into text(title) values ' . implode(', ', $aText));

Ошибка:
SafeMySQL: Number of args (0) doesn't match number of placeholders (1) in [insert into text(title) values ('some text 1'), ('some text ?n some text'), ('some text 2')]

Как можна экранировать ?n ?

Спасибо

Ответ:

Здравствуйте, Павел!

Для помещения в запрос тех элементов, которые уже были обработаны, служит плейсхолдер ?p (parsed). То есть, код будет выглядеть вот так:

$aText = array('some text 1', 'some text ?n some text', 'some text 2');

array_walk($aText, function(&$item, $key) use ($db) {
$item = $db->parse('(?s)', $item);
});

$db->query('insert into text(title) values ?p', implode(', ', $aText));

Пишите, если будут другие вопросы!

Александр, 20.05.17 21:32

Пишу:

$val1 = $_POST['theader'];
$val2 = $_POST['ttext'];
$val3 = $_POST['tprice'];
$sql = "INSERT INTO task SET theader = ?s , ttext = ?s , tprice = ?i";
$db->query($sql,$val1,$val2,$val3);

Выходит ошибка: 500 (Internal Server Error)

Александр, 20.05.17 11:11

Здравствуйте нужно внести в таблицу Mysql следующие значения: текст1:string, текст2:string, значение1:integer. Какую функцию для этого использовать из вашего класса?

Сергей, 16.05.17 19:27

SafeMySQL: MySQL server has gone away.
Решение добавить в цикл:
$db = null;
$db = new SafeMySQL();

Сергей, 16.05.17 16:42

Добрый день!
Раньше я использовал функцию mysql_insert_id()
для получения вставляемого ID, а как быть сейчас?

Ответ:

Здравствуйте, Сергей!

Для получения сгенерированного базой id служит метод insertId():

$id = $db->insertId();

Сергей, 15.05.17 12:06

Спасибо за ответ, я не учел, что метод возвращает string подправил код, сейчас работает все нормально.

Сергей, 15.05.17 00:48

Здравтсвуйте!
знакомлюсь с Вашим классом.
Пытаюсь выполнить запрос:
$a_ret_str=$cls_db->getOne("select prior$lang_site_pref from ?n order by prior$lang_site_pref desc limit 0,1",$tblname);
запрос составляется верно :
SELECT prior_ru FROM f_section ORDER BY prior_ru DESC LIMIT 0 , 1. Ваш метод возвращает пустую строку, я так пожразумеваю FALSE. В чем может быть проблема?

Ответ:

Здравствуйте, Сергей.

Сложно сказать, в чем проблема. На первый взгляд все выглядит корректно.

Для начала я бы вынес имя поля, как и полагается, в переменную, и проверил запрос с помощью метода parse():

$fieldname = "prior$lang_site_pref";
echo $cls_db->parse("select ?n from ?n order by ? desc limit 0,1",$fieldname, $tblname, $fieldname);

и полученный запрос проверил на другом клиенте.
если все работает, то можно заменять parse() обратно на getOne()
А если нет, то в таблице нет данных.

Роман, 12.05.17 12:30

ну у меня переменные в это конкретном случае в запрос берутся из "надежного" источника. Я не боюсь в данном случае за безопасность.
В противном случае я, конечно же, юзаю плейсхолдеры.

По поводу кавычек: спасибо большое за разъяснения. Сейчас буду "копать", где же они у меня теряются, будь они неладны

Ответ:

Надежных источников не бывает.

Роман, 12.05.17 11:20

смотрите:
$owner = $db->getRow(" SELECT * FROM ".$tblp." WHERE t3.guid = '".$Bill['guid']."';");

далее делаю массив
$NewETask['ContrID'] = $owner['ContrID'];
$NewETask['Contact'] = $db->getOne("SELECT `Name` FROM ".$bill_contact." WHERE BillID=".$Bill['bill_id']." AND Level='tex';");

в `Name` у меня есть кавычки

делаю запрос:
$db->query("INSERT INTO ".$ETask_table." SET ?u;",$NewETask);

Открываю БД через phpMyAdmin, HeidiSQL или Adminer (пофигу) и вижу в поле Contact значение до кавычек

Ответ:

Во-первых, библиотека в этом примере применяется абсолютно неправильно, что в будущем обязательно приведет к ошибкам и проблемам с безопасностью. Правильный код должен быть таким:

$owner = $db->getOne("SELECT ContrID FROM ?n WHERE t3.guid = ?s", $tblp, $Bill['guid']);

$NewETask['ContrID'] = $owner['ContrID'];
$NewETask['Contact'] = $db->getOne("SELECT Name FROM ?n WHERE BillID=?s AND Level='tex'", $bill_contact, $Bill['bill_id']);

$db->query("INSERT INTO ?n SET ?u", $ETask_table, $NewETask);

Во-вторых, никакие кавычки никуда не пропадают. Это можно проверить с помощью функции parse():

$NewETask['ContrID'] = 1;
$NewETask['Contact'] = 'Name "Name" Name';

$sql = $db->parse("INSERT INTO ?n SET ?u", "ETask_table", $NewETask);
echo $sql;

Этот код выведет корректный SQL запрос, который, разумеется, вставит данные без проблем (при условии что размер поля позволяет сохранить всю строку).

INSERT INTO `ETask_table` SET `ContrID`='1',`Contact`='Name \"Name\" Name'

что можно проверить в тех же phpMyAdmin, HeidiSQL или Adminer.

Если что-то пропадает, надо обязательно проверять данные СРАЗУ ПЕРЕД и СРАЗУ ПОСЛЕ вставки.
Очень часто разработчики только предполагают, что у них есть некоторые данные (с кавычками), хотя на самом деле кавычки давным давно потерялись, а обнаружилось это только сейчас. Все проблемы с "потерявшимися" символами вызваны только проблемами в отслеживании причинно-следственных связей. В той же HTML форме данные никуда не пропадают, и прекрасно видны в исходном коде.

Роман, 12.05.17 10:36

не.. я в базу смотрю. И вижу обрезанное до кавычек значение там.
А запись создается в БД без использования формы

Ответ:

Еще раз.
Речь не о записи, а о просмотре.
Правильно выводить данные надо при просмотре.
Запись тут совершенно не при чем.

Роман, 12.05.17 09:53

Еще раз спасибо за великолепный класс, который мне лично сэкономил просто уйму времени.
У меня проблемка такого рода: при использовании в массиве для плейсхолдера ?u кавычек у меня обрезается в БД все, что после первой кавычки, включая её саму.

Ответ:

Здравствуйте, Роман.

Кажется, я знаю, в чем проблема.
Разумеется, значение не обрезается, а записывается полностью.
А вот при выводе в value формы без соответствующей обработки, разумеется, пропадает.
При выводе значений в html надо всегда применять функцию htmlspecialchars().

Влад, 11.05.17 17:51

Здравствуйте, стоит лис mysqli переквалифицироваться на PDO, если будешь писать на ООП?

Ответ:

Здравствуйте, Влад.

Это хороший вопрос, и ответ на него не так прост.
Но судя по тому как он задан, я бы рекомендовал PDO.

С одной стороны, с помощью mysqli можно написать отличный класс, который будет работать не хуже PDO. С другой стороны, для того чтобы написать такой класс, нужен очень большой опыт.

В то время как PDO - это уже готовый класс для работы с БД, в котором есть почти все, чего не хватает в mysqli. Поэтому я порекомендую хорошенько изучить ПДО, чтобы использовать его не как тупую замену mysql_query, а как удобный инструмент, который значительно упрощает самые ходовые операции.
В первую очередь конечно обратить внимание на подготовленные выражения.

Дмитрий, 07.05.17 12:14

Хороший класс. У меня файл с функциями не маленький. Но планирую подогнать его под ваш класс. Придется много попотеть. Я уже прикинул, весь сайт станет намного меньше по размеру.

Алексей, 17.04.17 21:42

Помогите! В mysqli_connect 4 параметра, в том числе ip-адрес. у new SafeMySQL массив из 4 значений, но где там прописать IP?

Ответ:

Здравствуйте, Алексей!

IP адрес передается в параметр host.
Например

$db = new SafeMySQL(array(
'host' => '127.0.0.1',
'user' => 'root',
'pass' => '',
'db' => 'test',
'charset' => 'utf8',
));

Алксандр, 14.04.17 09:02

А все гит увидел. Вы бы в стаье сразу ссыль на репу разместили.

Алксандр, 14.04.17 08:59

Добрый день. Так а где посмотреть сам класс можно?

Дмитрий, 25.03.17 15:44

Прошу прощение за дубль сообщения, первый раз не в ту тему задал.
Подскажите как лучше обработать исключение safemysql, когда например есть попытка вставки не уникального значения в индексированное поле с типом индекса UNIQUE.
функция делающая запрос не ловит это исключение...

Ответ:

Дмитрий здравствуйте!

Во-первых, убедитесь, что в таблице стоит уникальный индекс на то поле, которое не должно дублироваться
В-вторых, либо скачайте последнюю версию SafeMysql, либо убедитесь что при запуске в нее передается параметр errmode => exception. Поскольку у библиотеки есть два режима отображения ошибок, и нужно убедиться что выбран режим исключений
В-третьих, в блоке catch попробуйте добавить ведущий слеш к имени исключения, вот так:

} catch (\Exception $e) {

на случай, если используются неймспейсы

Если ничто из перечисленного не поможет, напишите подробнее, как конкретно проявляется проблема - я обязательно помогу!

Ученик, 17.03.17 18:20

Здравствуйте скажите, пожалуйста,почему вот так работает:
$result = $db->getRow("SELECT * FROM t_s WHERE s_id=?i", $_GET['s_id']);

А вот так - нет:
$sql = 'SELECT * FROM t_s WHERE s_id=?i, ' .$_GET['s_id'];
$result = $db->getRow($sql);
(s_id=NULL)

Понимаю, что дело в синтаксис, скорее всего :) Но я не понимаю, что неправильно.

Спасибо!

Ответ:

Здравствуйте!

Да, вы правы, дело в синтаксисе.
Дело в том, что функция getRow() принимает два параметра, то есть два совершенно раздельных выражения. И соединить их так как у вас написано, в РНР не получится. Можно написать так:

$sql = 'SELECT * FROM t_s WHERE s_id=?i";
$result = $db->getRow($sql,$_GET['s_id']);

Если это вопрос вызван конкретной задачей, то если вы опишите ее, я смогу подсказать решение.

Денис Якушко, 14.03.17 09:38

Доброго времени суток, подскажите как модернизировать сообщение об невозможности подключения к бд, сейчас так сообщает
Fatal error: Uncaught exception 'Exception' with message 'SafeMySQL: 2002 Connection refused' in /var/www/webroot/ROOT/system/classes/safemysql.class.php:575 Stack trace: #0 /var/www/webroot/ROOT/system/classes/safemysql.class.php(126): SafeMySQL->error('2002 Connection...') #1 /var/www/webroot/ROOT/index.php(74): SafeMySQL->__construct() #2 {main} thrown in /var/www/webroot/ROOT/system/classes/safemysql.class.php on line 575, а хотелось бы задать свой текст, спасибо.

Ответ:

Здравствуйте, Денис!

Спасибо за хороший вопрос.
Я так понимаю, что модернизировать хочется это сообщение для конечного пользователя сайта? Если так, то никак модернизировать не нужно - надо просто показать стандартное сообщение об ошибке, общее для любых ошибок, случившихся на сайте. Это можно сделать с помощью, например, такого кода:



set_error_handler("myErrorHandler");

function myErrorHandler($errno, $errstr, $errfile, $errline)

{

    $error = "[$errno] $errstr in $errfile:$errline";

    error_log($error);

    $error = ini_get('display_errors') ? $error : "Временные проблемы на сайте. Пожалуйста зайдите позже.";

    header('HTTP/1.1 500 Internal Server Error', TRUE, 500);

    echo $error;

    exit;

}

Если же нужно модернизировать по какой-то другой причине, то опишите, как именно нужно модифицировать это сообщение.

Дмитрий, 13.02.17 16:25

В связи с предыдущим моим вопросом. Получил желаемый результат используя getInd(). Большое благодарю за прекрасно сделанную работу. Профессионально.

Ответ:

Здравствуйте, Дмитрий!

На самом деле не совсем так. getInd() является аналогом PDO::FETCH_UNIQUE, а прямого аналога FETCH_GROUP в safemysql, к сожалению, нет. Когда я писал эту библиотеку, я плохо знал PDO, а иначе бы взял оттуда гораздо больше.

FETCH_GROUP возвращает трехуровневый массив, группируя возвращаемые строки. А getInd() просто индексирует их. Но я рад если эта функция вам подошла!

Также просто для справки, аналогом PDO::FETCH_KEY_PAIR является метод getIndCol(), возвращающий пары ключ-значение.

Дмитрий, 13.02.17 15:59

Моё почтение. Класс действительно классный :).
Не совсем понял, как работает public function fetch(). Т. е. как получать результаты как в ... ->(PDO::FETCH_GROUP); или подобные? Заранее благодарю.

Eugene, 12.02.17 23:51

Добрый день.
Планируется ли добавить возврат данных в виде объектов?

Артур, 11.02.17 08:03

Супер!

Руслан, 12.01.17 23:24

Посоветуйте, как использовать функции SafeMySQL в других классах

Ответ:

Здравствуйте, Руслан!

Классический вариант - передавать класс в конструктор и присваивать защищенному свойству:



class user {

    protected $db;

    public function __construct(SafeMysql $db) {

        $this->db= $db;

    }

    public function get($id) {

        return $this->db->getRow("SELECT * FROM users WHERE id=?s",$id);

    }

}



$db = new SafeMysql();

$user = new User($db);

$row = $user->get($id);

Евгений, 05.01.17 13:02

Здравствуйте! В связи с вопросом от Игоря от 26.12.2016. Не планируете ли Вы ввести public переменную debug в свой класс SafeMySQL? То есть хотелось бы вот такого:
$db->debug=true; // включает режим отладки запросов
...
здесь может быть куча запросов, каждый из них будет отображаться на экран с подставленными значениями.
...
$db->debug=false; // отключаем режим отладки, теперь запросы что расположены ниже не будут отображаться на экране.

Ответ:

Здравствуйте, Евгений!

В принципе, режим отладки уже есть и всегда включён.
Список выполненных запросов можно получить с помощью метода getStats()

Var_dump($db->getStats());

вернет массив в котором будут все запросы и время выполнения.

Так что это скорее недостаток документации. Постараюсь в ближайшее время исправить

Игорь, 26.12.16 12:02

Искал, но что-то не смог найти.
Как получить отправляемый запрос в БД для отладки, со всем подставленными значениями?
В моем случае - "insert into tname set ?u",$array_with_data

Ответ:

Игорь, здравствуйте!
Спасибо за хороший вопрос.
Есть два варианта.

Во-первых, метод parse(), который вернет целиком подготовленный запрос:

echo $db->parse("insert into tname set ?u",$array_with_data);

Во-вторых, если запрос уже был выполнен, то можно вызвать метод lastQuery():

$db->query("insert into tname set ?u",$array_with_data);
echo $db->lastQuery();

Пишите, если остались еще вопросы!

Григорий, 15.12.16 11:16

Использую UPDATE через ?u
Некоторые переменные в массиве могут быть $value=NULL;

Так вот, запрос выполняется типа value='', а как сделать чтобы было value=NULL ?

Разница видна в базе или просто пустое значение ставится или ставится значение по умолчанию NULL.

Ответ:

Здравствуйте, Григорий!

Возможно, у вас очень старая версия библиотеки.
Раньше она действительно подставляла пустую строку вместо NULL, но сейчас подставляется именно NULL:

При обработке плейсхолдера ?u используется метод escapeString(),
https://github.com/colshrapnel/safemysql/blob/master/safemysql.class.php#L608
а в самом escapeString() идет проверка на NULL,
https://github.com/colshrapnel/safemysql/blob/master/safemysql.class.php#L556

Так что если скачать последнюю версию, то эта проблема должна исчезнуть.
Пишите, если у вас остались любые вопросы!

Максим, 14.12.16 12:34

Спасибо за молниеносный ответ(на самом деле, неожиданно..)!
Второй вариант - то, что нужно. Мне было приказано не лезть в исходники SafeMySQL))
Ещё раз спасибо и творческих Вам успехов!

Ответ:

Рад был помочь. Обращайтесь ещё! :)

Максим, 14.12.16 10:26

Здравствуйте!
Спасибо, за Ваше детище!
Такой вопрос, можно ли как-то сделать так, чтобы в ошибках не выводился сам ошибочный запрос, не изменяя исходный код?
Извиняюсь, если такой вопрос уже был вчера пересмотрел порядка 30 вопросов и похожего вопроса не нашёл...

Ответ:

Здравствуйте, Максим!

Стандартными средствами нельзя, но есть два варианта. Надеюсь, один из них вам подойдет.

Первый вариант - просто поправить в исходном коде, убрав запрос в строке 483: https://github.com/colshrapnel/safemysql/blob/master/safemysql.class.php#L483

Второй вариант мне нравится даже больше, поскольку не требует правки исходного кода, я иногда использую его сам. Mysqli можно заставить бросать исключения самостоятельно. Для этого в любом месте кода (лучше всего - перед созданием инстанса safemysql) надо добавить волшебную строчку

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);

и тогда mysqli начнет выбрасывать исключения раньше, чем их поймает обработчик класса. И в исключении будет как раз только сама ошибка, без исходного запроса!

Надеюсь, какой-то из этих вариантов вас устроит!

Артур, 01.12.16 09:00

Здравствуйте! Использую Ваш привлекательный класc через codeigniter 3.

Подскажите каким образом реализовать запрос SELECT * WHERE a = 'любое значение' ? или подставить значение %.

PS: планируется ли внедрение новых плейсхолдеров ?

Ответ:

Здравствуйте, Артур.

Прошу прощения за задержку с ответом, увидел ваш комментарий только сейчас.

Думаю, вопрос уже не актуален, но все же. Есть два варианта.

Первый, использовать LIKE:

SELECT * WHERE a LIKE ?s

и передать либо %, либо нужное значение. Но тогда сам знак процента и подчеркивания нужно экранировать в данных, с помощью

$a = addCslashes($a, '\%_');

или есть еще один вариант, написать

$row = $db->getOne("SELECT * WHERE a = %s or %s is null", $a, $a);

В этом случае запрос вернет все записи, если $a = null, а если $a содержит значение, то будет искать по этому значению.

Насчет новых плейсхолдеров есть идеи но с датой релиза пока никакой ясности

Дмитрий, 14.11.16 11:51

спасибо за оперативный ответ.
и за класс, конечно же)

PS: вынесите в документацию наличие методов affectedRows() и остальных. потратил 20 минут на поиски, что он есть)))

Ответ:

Спасибо за замечание, обязательно добавлю в ближайшее время.

Дмитрий, 14.11.16 11:36

Нигде не вижу что возвращают функции в случае ошибки на стороне mysql... как убедиться, что запрос отработал корректно?

Ответ:

Здравствуйте, Дмитрий!

В случае ошибки на стороне mysql будет выброшено исключение.
поэтому убеждаться, что запрос отработал корректно, не нужно. Система сама просигнализирует об этом.

Михаил, 12.11.16 17:23

Как новичку совместить использование данного класса и данные из статий о предотвращении SQL-инъекий.

Ответ:

Здравствуйте, Михаил!

В хороших статьях написано как раз то, что реализует данный класс. А с плохими статьями совмещать ничего не надо :)

Если честно, то не очень понятен вопрос. Если есть какие-то конкретные вопросы по совмещению или непонятные моменты, то буду рад ответить.

Андрей, 05.10.16 14:49

Не хотите сделать подобный класс для PostgreSQL? Или может быть универсальный класс для разных СУБД (SafeMyDB)?

Ответ:

Здравствуйте, Андрей!

Спасибо за хороший вопрос.
Сам я вряд ли соберусь - к сожалению, в настоящее время работать с SQL приходится нечасто.
Но вот есть надстройка над PDO, которая и реализует подобный функционал, причем с прицелом именно на Postgres:
https://github.com/davidmz/yaff-db

Возможно, она вам подойдет.

Ромарио, 04.10.16 15:50

Извините.. Нашел в примерах использования

Ответ:

Добрый день!

Рад, что уже не нужно - я как раз собирался дать ссылку.

Пишите, если будут другие вопросы, постараюсь реагировать оперативнее :)

Ромарио, 04.10.16 15:35

А как реализовать запрос типа INSERT INTO tbl_name (a,b) VALUES('1a','2b'),('2a','2b'),('3a','3b') ?
Спасибо

Сергей, 14.09.16 17:17

Да, вы правы:))) Я просто проверял через print_r и ожидал что он выведет на экран, я ошибался! Огромное спасибо, сейчас бы еще кучу времени пытался разобраться!:)

Ответ:

Рад, что помог!
Пишите еще вопросы, если будут.

Сергей, 14.09.16 16:58

Добрый день! Большое спасибо за этот замечательный класс:)
Возникла небольшая проблема, есть таблица в которой хранятся вот такие записи:
<meta name="value" content="value">
При попытке вывести нужную запись выводится пустое значение. Стоит разместить туда другое содержимое, отличное от мета тега - сразу все ок, поэтому думаю что проблема именно в тегах. Запрос у меня такой:
getOne("SELECT ?n FROM table WHERE id = ?i", $column_name, $id);
Подскажите, пожалуйста, как поступить!

Ответ:

Здравствуйте, Сергей.

Сложно сказать в чем тут может быть проблема.
По моему опыту, чаще всего подобный вопрос возникает потому, что программист забывает открыть исходный код страницы. Поскольку в исходном коде этот тег будет виден, а вот на отрисованной странице - нет.

higimo, 14.09.16 14:32

Хотелось бы примеры в разделе «Удобство» на каждый пункт.

Ответ:

Спасибо за замечание, это хорошая идея.
Я добавлю в эти выходные.

KilkennyCat, 04.09.16 15:29

Благодарю, очень пригодилось и для работы, и как образец работы.

Gunirs, 06.08.16 11:45

Спасибо, полезно и очень удобно.

Дима, 15.07.16 10:22

доброго времени суток. подскажите, как будет выглядеть запрос с .
Например:
$sql_select = ($link->query("UPDATE table_name SET firstname='" . $value_firstname . "' WHERE id='" . $somebody_put_somethink_in_my_drink . "'"));

Ответ:

Добрый день! Пожалуйста:

$sql = "UPDATE table_name SET firstname=?s WHERE id=?s";
$db->query($sql, $value_firstname, $somebody_put_somethink_in_my_drink);

Денис, 06.07.16 22:08

Здравствуйте.
Скажите, а поддержки мультизапросов таки не будет? На сколько мне известно, мультизапрос в пхп вынесли в отдельную функцию, чтобы, если злоумышленник найдёт место для инъекции, ему было сложно использовать её в полной мере. Раз Вы гарантируете безопасность запросов от инъекций, то, может, стоит использовать по умолчанию mysqli_multi_query ?

Ответ:

mysqli_multi_query - особенная функция, служит для исполнения асинхронных запросов. просто так от нечего делать ее применять не стоит.

Я не вижу ни одной причины делать мультизапросы, кроме заливки дампов. Но дамп лучше заливать специализированной программой.

Александр, 01.07.16 11:04

Понравилось. Спасибо.

Дмитрий, 01.06.16 08:48

Спасибо за совет :)

Дмитрий, 31.05.16 22:13

Спасибо за наводки. Проблема решилась путем удаления лишних кавычек в атрибуте style у DIV-блока.

Ответ:

Я бы все-таки поправил работу РНР скрипта, который обрабатывает приходящие запросы, поставив проверку - валидный ли запрос.
потому что 404 будут всегда. Запросы к сайты может делать кто угодно. И этот кто угодно никогда не упускает случая пощупать разные урлы.

Равиль, 31.05.16 19:15

Спасибо. Было бы не плохо иметь возможность использовать префиксы для таблиц. Это сделало бы класс еще более универсальным. Заменил префикс в новом проекте и все.
Возможно ли осуществить это не отдельным плейсхолдером, а по умолчанию для всех, если указан префикс в массиве?

Ответ:

Нет.

Класс для этого не предназначен. Его задача - не подготавливать запросы к выполнению, а выполнять их.
Чтобы реализовать подобный функционал, потребуется написать парсер SQL, а это уже совсем другой тип программы. Если хочется на автомате подставлять префиксы, то нужно смотреть в сторону таких инстументов, как Doctrine ORM.

Дмитрий, 31.05.16 17:17

На вкладке Network в хроме все файлы подгружены успешно. Сейчас подумал насчет mod_rewrite. На нескольких страницах этого ведь не происходит. Причем на страницах, у которых самый длинный адрес (//site/news/news1). Т.е. там ещё больше файлов подключается. И вот снова... Когда первый комментарий писал, в БД добавлялось 2 записи. Сейчас уже 3. Я создал ии?

Ответ:

Разумеется, все файлы подгружены успешно.
Потому что пхп их обработал и вернул код успешного запроса, 200

Дело не в mod_rewrite как таковом.
Дело в том, что SQL запрос выполняется для любого HTTP запроса без разбору.
А должен выполняться только для правильных запросов.

Дмитрий, 31.05.16 16:53

У меня при подключении файлов происходит проверка на их существование. Вряд ли из-за этого. Хм... А может это быть из-за mod_rewrite? Он же как бы перенаправляет запрос

Дмитрий, 31.05.16 15:30

Выполняю простой запрос для добавления записи в БД, типа $DB -> query('INSERT INTO table SET test = ?s', 'testValue') либо $DB -> query('INSERT INTO table (test) VELUES(?s)', 'testValue').
Проблема: Почему то скрипт выполняет чуть ли не рандомное количество раз. То 2 строки в таблицу добавит, то 3. Один раз 6 добавил. На разных страницах по-разному работает. На некоторых даже нормально работает :)
В чем может быть проблема?

Ответ:

Это похоже на историю, которая описана в разделе "Юмор":
http://phpfaq.ru/humor/sql_html_table

Скорее всего, этот SQL запрос отрабатывает при каждом НТТР запросе к серверу, а РНР настроен так, чтобы обрабатывать несуществующие адреса. В итоге, если файл не найден, то запускается РНР скрипт.
Получается, что на какой-то странице аж 6 ссылок, ведущих в никуда.
Рекомендую посмотреть запросы в консоли браузера, вкладка "Сеть"

Равиль, 30.05.16 21:05

Здравствуйте!
Начинаю свой первый самостоятельный небольшой php проект и решил использовать Ваш класс для работы с БД.
Возник вопрос: возможно ли реализовать при использовании класса писать имя таблицы без существующего префикса, а префикс вставлять автоматически из массива $defaults ?

Ответ:

Нет, к сожалению, с помощью класса это делать нельзя.
Дело в том, что клас не зарличает имна полей и таблиц.

В принципе, такой функционал довольно несложно реализовать:

1. К параметрам настройки добавить еще один пункт prefix
2. Добавить новый тип плейсхолдера к уже существующим, который будет добавлять этот пречифс к подставляемому значению.

Если нужно, то я смогу это реазидовать за пару дней.

Дмитрий, 16.05.16 18:45

Благодарю вас за пояснение - теперь понятно, что произошло в моём случае.

Вы могли бы подсказать, как формулировать код для записи в БД, если я хочу одновременно записать ряд параметров?

Ответ:

Если я правильно понял вопрос, то для записи можно использовать два способа:
Можно писать запрос как обычно, например

$sql = "INSERT INTO table (url,name,price) VALUES (?s,?s,?s)";
$db->query($sql, $url, $name, $price);

А можно составить массив, в котором ключи - имена полей, а значения - значения для вставки, и потом использовать в запросе специальный плейсхолдер ?u:

$data = array(
'url' => $url,
'name' => $name,
'price' => $price,
);
$db->query("INSERT INTO table SET ?u", $data);

Выбирайте тот вариант, который больше нравится. Лично мне больше подходит второй.

Дмитрий, 16.05.16 18:16

Здравствуйте.
Начал использовать класс для одного проекта. Вылезла странность - при записи в базу данных символа "знак вопроса" в некоторых урл-адресах (то есть, видимо, в сочетании с некоторыми другими символами, пока не очень понял - с какими именно) класс выдаёт ошибку.

Fatal error: Uncaught exception 'Exception' with message 'SafeMySQL: Number of args (0) doesn't match number of placeholders (1) ...

Что бы это могло быть?

Ответ:

Здравствуйте!

Скорее всего, эта ошибка появляется из-за неправильного использования класса.

Главное правило при работе с БД - ВСЕ без исключения переменные должны попадать в запрос только через плейсхолдеры. А сейчас это не так.

Как делать НЕРАВИЛЬНО:

$db->query("INSERT INTO table (url) VALUES ('$url')");

Такой код будет вызывать вышеприведенную ошибку и уязвим для инъекций!

Как делать правильно:

$db->query("INSERT INTO table (url) VALUES (?s)", $url);

Этот код будет работать корректно и защитит от инъекций.

Если будут еще вопросы - буду рад ответить!

Роман, 21.04.16 11:52

Я начинаю чувствовать себя странно %)
Вчера вечером пробовал, вставлялось все что угодно кроме NULL, утром написал метод чтобы вставлять их с помощью как раз таки prepared statement, вот такой:
/**
* первый аргумент - макет запроса с плейсхолдерами,
* второй - строка типа "iiss" для метода bind_param,
* третий и последующие - переменные, которые биндятся
*/
public function preparedQuery() {
$args = func_get_args();
$query = array_shift($args);
$stmt = $this->conn->prepare($query);
$ref = new ReflectionClass('mysqli_stmt');
$bind = $ref->getMethod("bind_param");
$bind->invokeArgs($stmt, $args);
return $stmt->execute();
}

А сейчас опять попробовал через query() и все работает как надо о_О

Спасибо за быстрый ответ.

Ответ:

Да, со мной тоже так бывает :)

Вместо рефлекшена можно сейчас применять splat оператор, вот, как описано здесь: http://stackoverflow.com/a/35686613

Роман, 21.04.16 10:38

Привет. Нет, не переписал. Что-то добавлял по-мелочи, но там на pull request точно не наберется.
Вообще я даже не помню, чтобы менял mysqli_connect() на new mysqli(), но похоже что таки зачем-то менял о_О.
Мде. Сам накосячил, сам за баг предъявил.
Прошу пардону.

Кстати, попутно возник вопрос. С помощью класса в текущем его виде можно каким-то образом соорудить INSERT INTO t(col) VALUES(?), где на месте ? нужен честный NULL, а не строка или число?

Ответ:

Привет!

Да, прямо сейчас любая переменная, которая содержит NULL, попадает в запрос как NULL.

То есть

echo $db->parse("INSERT INTO t (col) VALUES (?s)", NULL);

вернет

INSERT INTO t (col) VALUES (NULL)

Изначально это было не так, и NULL становился пустой строкой. Но на меня наехал один чувак, который передавал AJAX-ом JSON, в котором была куча NULL-в, и которому было бы дико удобно сразу пихать раскодированный json в запрос, одной строчкой:

$db->query("INSERT INTO t SET ?u", json_decode($input));

Но нуллы ему все портили и он уговорил меня переделать.

А потом я уже узнал, что PDO и Mysqli тоже отправляют NULL в базу, если ты делаешь prepared statement и передаешь в него переменную, которая содержит NULL. Так что это самое правильное поведение.

Роман, 15.04.16 11:06

Привет.
Спасибо за класс, очень понравился.
Заметил небольшой баг: connection failed при
@$this->conn = new \mysqli(...);
проверяется условием
if ( !$this->conn ) {//pass}, но это условие никогда не выполнится, оно должно выглядеть как
if ($this->conn->connect_errno) {//pass}

Еще раз спасибо за годную библиотеку.

Ответ:

Роман, здравствуйте!

На самом деле это не баг, а недокументированное поведение :)
Хоть в мануале это и не сказано, но если создавать соединение в процедурном стиле, то mysqli_connect(), видимо из соображений совместимости, возвращает-таки FALSE, и проверка срабатывает.

А вот если создавать через new mysqli - то да, тогда ваше замечание будет верным. Хотя в случае успеха и new mysqli и mysqli_connect() возвращают объект mysqli.

А вы переписали safeMysql на объектный синтаксис? Если да, то я буду принять pull-request.

Валентин, 30.03.16 01:31

Здравствуйте.

Прежде всего спасибо за отличный класс! Уже пол года активно его использую.
Нужен совет по следующему вопросу:
Когда приходится работать с большим объемом данных (получение более 50 000 строк ) то массив получаемый getAll съедает слишком много памяти. В таком случае я использую просто query и mysqli_fetch_array. Можно ли как то еще решить этот вопрос в рамках класса? При работе с большими объемами данных памяти при работе с классом часто просто не достаточно.

Спасибо!

Ответ:

Здравствуйте!

Да, такой способ есть, но в силу того, что safemysql - очень тонкая обертка над mysqli, то он будет не очень сильно отличаться от текущего:

$result = $db->query("SELECT * FROM table");
while ($row = $db->fetch($result)){
echo $row['name'];
}

Внутри у метода fetch() обращение к тому же mysqli_fetch_array.

Анатолий, 25.03.16 14:49

Кодировка - SET NAMES
------------
тоже полагал, что при версиях ниже 5.3.9, однако на шаред-хостинге hostland.ru мне это понадобилось при версии php 5.6, как ни странно.

Анатолий, 25.03.16 14:11

Кодировка - SET NAMES
------------
Спасибо за пояснения. В подключении PDO столкнулся с такой особенностью, что charset=utf8 оказалось недостаточно, пришлось дополнять PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAME UTF8'

Поэтому уточнил для SafeMySQL и MYSQLI

Ответ:

Для PDO такое может понадобиться только если используется очень сильно устаревшая версия РНР.

Но в mysqli все работает в любой версии.

Анатолий, 25.03.16 10:36

Спасибо за предыдущий ответ, всё отлично получилось.
Вдогонку ещё один вопрос - есть ли возможность при подключении указывать SET NAMES (для кодировки на шаред-хостинге требуют)

Ответ:

Здравствуйте, Анатолий!

Выставлять кодировку SET NAMES неправильно. Для этого должна использоваться специальная функция. В safeMysql она вызывается в конструкторе, задавая кодировку utf8 по умолчанию.

Поэтому если нужна utf8, то ничего делать не надо, все уже делается автоматически.

Если же нужно указать другую кодировку, то ее надо передать в конструктор наряду с другими параметрами, например:

$opts = array(
'user' => 'user',
'pass' => 'pass',
'db' => 'db',
'charset' => 'cp1251'
);
$db = new SafeMySQL($opts);

Анатолий, 24.03.16 12:29

Позвольте вопрос, чуть выходящий за пределы замечательного класса SafeMySQL.

Есть две таблицы.
Первичный ключ table1_id порождается через AUTO_INCREMENT.
Как его грамотно записать в table2_foreign_id после операции записи в первую таблицу через SafeMySQL?
Наверное, посредством ф-ции mysql_insert_id ?

Спасибо!

Ответ:

Здравствуйте!

Спасибо за хороший вопрос.

Самое главное - никаких функций, начинающихся с mysql_ в принципе использовать нельзя, поскольку класс базируется на функциях mysqli_.

А достичь желаемого результата можно двумя способами:

1. Использовать метод клсасса insertId(). То есть, сначала сделать запрос на вставку в первую таблицу, потом написать
$id = $db->insertId();
и потом использовать это значение во втором запросе

2. Либо можно воспользоваться функцией mysql LAST_INSERT_ID(), которую можно вызвать сразу во втором запросе:

INSERT INTO table2 SET table2_foreign_id=LAST_INSERT_ID(), ...

Спасибо за лестную оценку класса, пишите, если будут другие вопросы!

Ромарио, 16.03.16 15:21

И еще: попытался найти на сайте хоть какую-нить ссылочк для доната (хотел хотя бы соточку закинуть на пиво, чисто из уважения к Вашим трудам, хотя Вы об этом и не просите), а не нашел

Ответ:

Спасибо за предложение, но пока я не планирую извлекать прибыль из проекта :)
Так что спасибо на добром слове :)

Ромарио, 16.03.16 15:20

Ну, использовать в других проектах я буду не класс, а файл с классом ;)
Соответственно, никто мне не мешает в каждом своем проекте указать в файле класса все необходимые мне параметры и использовать этот файл как некий db.config.inc.php

Ответ:

Ну, технически это сделать можно, но обычно в проекте бывают и другие переменные конифгурации - емейл админа, разные пароли к сервисам и прочее - и обычно их хранят в отдельном файле. Это удобнее, чем переписывать кучу значений в разных местах.

Ромарио, 16.03.16 12:39

Простите, что заваливаю Вас вопросами и своими (возможно глупыми) комментариями, но у меня еще один небольшой вопросик: насколько корректно будет внутри класса в переменной private $defaults указать значения параметров моего сервера (логин, пароль и прочее)? Стоит ли так поступать?

Ответ:

Наоборот, я всегда рад вопросам и комментариям, они помогают мне сделать класс лучше. Я переживаю только что не всегда могу оперативно ответить. Так что не стесняйтесь, задавайте любые вопросы, я на все отвечу.

По поводу указания своих параметров внутри класса - этого делать не рекомендуется. со временем поребуется использовать класс в нескольких проектах, и постоянно переписывать параметры будет неудобно.

На сайте должен быть файл конфигурации, который включается во все скрипты. Вот в нем как раз желательно прописать все параметры доступа и инклюд класса. И вот этот конфиг файл уже включать в свои скрипты, и его менять для разных сайтов.

Ромарио, 15.03.16 21:47

Все, что Вы описали в предыдущем ответе на мое сообщение, я читал :) Чесслово, после того, как попался с getAll() вместо getInd()

А смотрю с позиции того, что глупо пользоваться классом, в котором есть те или иные функции, а ты про них не знаешь и, возможно, будешь изловчаться в чем-то.. что уже и так есть

Ответ:

Ну, как я говорил уже раньше, функций в классе совсем немного и все они перечислены в статье.

Но спасибо за критику, я постараюсь в ближайшее время добавить раздел с базовыми функциями и примерами использования.

Ромарио, 15.03.16 17:34

Ну что, класс очень понравился.. и в первую очередь своей простотой.

Очень глупый вопросик: в самом файле класса safemysql.class.php куча примеров сразу и прокомментированы все функции, но на английском. Нет случайно с комментами на русском?
Лениво вычитывать переводя ;)

Ответ:

В принципе, класс очень простой, по базовым функциям есть небольшой cheatsheet, http://phpfaq.ru/misc/safemysql_cheatsheet_ru.pdf
и статья на хабре, https://habrahabr.ru/post/165069/
Ееще есть страница с примерами, http://phpfaq.ru/safemysql/examples
Если этого достаточно, то хорошо.
Если нужно что-то более подробное - пишете, постараюсь в ближайшее время написать!

Рад что класс понравился. Пишите, если будут возникать вопросы.

Денис, 13.03.16 17:34

на основе SafeMySQL

feedree, 22.02.16 07:03

[Sun Feb 21 15:10:04.430300 2016] [lsapi:error] [pid 155797:tid 139753248642816] [client 176.59.149.73:54699] [host e.12codes.ru] Backend fatal error: PHP Fatal error: SafeMySQL: 1135 Can't create a new thread (errno 11); if you are not out of available memory, you can consult the manual for a possible OS-dependent bug. Error initiated in /home/tcnpciqx/domains/12codes.ru/public_html/e/application/core/db.php on line 29, thrown in /home/tcnpciqx/domains/12codes.ru/public_html/e/application/core/safemysql.php on line 601\n, referer: httр://e.12codes. ru/index.php?action=in_game

Ответ:

Здравстввуйте!

Это ошибка не класса, и не PHP, а mysql сервера. Сам я никогда с такой ошибкой не сталкивался, поэтому могу только нагуглить, вот, например, эту статью: https://www.percona.com/blog/2013/02/04/cant_create_thread_errno_11/
Насколько я понимаю, это проблема с настройками сервера.

XAM, 16.02.16 16:59

PHP 5.4.0.

Ответ:

Вот об этом и речь, даже в этой устаревшей версии РНР данная директива отсутствует.
http://php.net/manual/ru/info.configuration.php#ini.magic-quotes-gpc

XAM, 16.02.16 16:13

Еще заметка по классу:
private function escapeString($value)
{
if ($value === NULL)
{
return 'NULL';
}
$value = get_magic_quotes_gpc() ? stripslashes($value) : $value;
return "'".mysqli_real_escape_string($this->conn,$value)."'";
}
Как видите добавил вот такую строчку $value = get_magic_quotes_gpc() ? stripslashes($value) : $value;
Это для решения проблем с экранированием. Само собой это не требуется, если в в php указано magic_quotes_gpc=Off, однако присутствие указанной мной строчки ни в том ни в другом случае проблем не создает, но решает проблему, которая может возникать у некоторых.

Ответ:

Это очень старое заблуждение. С этой строчой есть три проблемы.

1. К работе с БД она не имеет никакого отношения. Поскольку magic_quotes_gpc портит ЛЮБЫЕ данные, а не только те, которые идут в БД. И если уж фильтровать испорченные ей данные, то то не в классе для работы с БД, а на самом входе в скрипт, чистить $_GET, $_POST, $_REQUEST и $_COOKIE.
2. Применять ее в таком именно виде нельзя в принципе. Поскольку эта строчку тупо пропускает правильное форматирвоание вообще. А нам никто не гарантирует, что даже при наличии этой настройки данные будут проискейплены правильно, и будут ли проискейплены вообще.
3. Ни в одной из поддерживаемых версий РНР нет такой настройки, как magic_quotes_gpc ВООБЩЕ. Отсутствует в принципе.

Поэтому лучше её убрать.

Константин, 16.02.16 04:56

Здравствуйте!
У меня все запросы на вставку данных в БД собираются динамически таким образом:

foreach( $table_struct['fields'] as $key=>$value )
{
$set_update .= $this->db->parse
(
"?p =?s ",
$value['column_name'],
$frm_value
) . ",";
}

$sql =
"
UPDATE ?n $set_update
WHERE ?p = ?i
";

$this->db->query
(
$sql,
$this->table_name,
$this->GetTablePKColumn(),
$id
);

Получается что-то типа:

$this->db->query
(
"
UPDATE ?n
SET name = 'test',
description = '?search',
navi_date = NULL
WHERE ?p = ?i
, "
"table_name",
table_id,
1
);

Если в поле $frm_value попадается что-то типа "?search", то класс сыплет проклятиями о несовпаденнии количества плейсхолдеров с количеством значений.

Подскажите пожалуйста, что с этим можно сделать?

Ответ:

Здравствуйте!

Для update есть специальный плейсхолдер ?u, так что собирать запрос вручную не нужно!
плюс вы перепутали во WHERE плейсхолдер ?n с ?p. Пожалуйста, будьте внимательнее, ?p - очень опасный плейсхолдер, поскольку отправляет данные в запрос без обрабтки. Тем более, что в этом запросе он не нужен

Я не очень понимаю логику сборки, откуда берется $frm_value, но если следовать коду выше, то получится так:

$set_update = [];

foreach( $table_struct['fields'] as $key=>$value )

{

     $set_update[$value['column_name']] = $frm_value;

}



$sql = "UPDATE ?n SET ?u WHERE ?n = ?i";



$this->db->query

(

	$sql,

    $this->table_name,

    $set_update,

	$this->GetTablePKColumn(),

	$id

);

Антуан, 03.02.16 15:50

Здравствуйте! Есть ли решение для множественной вставки строк в базу данных.

INSERT INTO test (title, content) VALUES (test1, abc), (test2, asfd), (test3, qwer)....

Ответ:

Здравствуйте!

Множественную вставку я решаю с помощью функции parse(). Пример можно посмотреть на странице примеров, http://phpfaq.ru/safemysql/examples#multiinsert

Выглядит не очень красиво, но эффективно и безопасно.

Роман, 02.02.16 10:53

Прошу, прощения, это моя глупость.
1. Запускал не на том хосте, ему запрещён доступ к базе данных
2. Писал так
$query = $db->parse('INSERT INTO `test` SET `val1`=?s','http://test.php?search=1');
$db->query($query);
Вместо $db->query('?p',$query);

Спасибо за быстрый ответ :)

Ответ:

Пожалуйста. Рад что помог!

Я правда не очень понимаю, почему бы не написать просто

$db->query('INSERT INTO `test` SET `val1`=?s','http://test.php?search=1');

функция parse нужна только для специфических случаев, вот как в комментарии выше.

Роман, 02.02.16 08:41

Спасибо за этот отличный класс!
Два вопроса:
1. Интерпритатор php 7 ругается на «throw new $this->exname($err);», что можно сделать?
2. часто в ссылках, которые добавляю в бд встречаются «?search=…», в итоге выходит ошибка о несовпаденнии количества плейсхолдеров с количеством значений

Ответ:

Рад, что вам понравилось!

По первому вопросу не вижу ругани интерпретатора: https://3v4l.org/bpgUf
Здесь происходит ровно то, что и должно происходить: бросается исключение.

По второму тоже не очень понятно - никаких ошибок знак вопроса вызывать не должен, поскольку обрабатываются только те ?, которые находятся в запросе. А данные надо подставлять через плейсхолдеры.

Вы, часом, не напрямую переменную в запрос подставляете?

Андрей, 31.01.16 02:51

Перечитал хэлп, вспомнил про whiteList()

Андрей, 31.01.16 02:40

Здравствуйте, спасибо за этот такой удобный класс. Но у меня возникла небольшая проблема, мне нужно отсортировать данные в таблице так, чтобы NULL значения оказались в конце, вот мой способ: $db->getAll('SELECT * FROM .... ORDER BY -'.$sort.' DESC;'); вставить $sort через плэйс холдер у меня не получается, mysql считает "-col" или -"col" строкой и не понимает, что я от него хочу. Насколько безопасно/небезопасно вставлять данные напрямую в ORDER BY? Есть ли другие варианты получить тот же результат через плейс холдер?

Ответ:

Вставлять напрямую в запрос небезопасно любые данные. А как именно вставлять - зависит от данных. Если это просто имя поля - то ?n.
А если сложное выражение, то можно использовать функцию parse(). если напишете, что нужно получить, то я напишу код для нее. Ну или Whitelist, да.

Дмитрий Ширяев, 15.01.16 23:16

наподобие этого запроса:
mysql> CREATE TABLE t1 (jdoc JSON);
Query OK, 0 rows affected (0.20 sec)

mysql> INSERT INTO t1 VALUES('{"key1": "value1", "key2": "value2"}');
Query OK, 1 row affected (0.01 sec)

Ответ:

Я думаю, вполне можно сделать так:

$data = ["key1" => "value1", "key2" => "value2"];
$db->query('INSERT INTO t1 VALUES(?s)', json_encode($data));

Дмитрий Ширяев, 15.01.16 23:15

чтобы можно было вставить массив в json поле

Дмитрий Ширяев, 15.01.16 18:41

В mysql 5.7 появилолся новый тип поля json. Можно ли как-то модернизировать ваш класс чтобы работать с данным типом данных

Ответ:

Надо подумать.
А какой конкретно функционал нужен?

Арсений, 15.01.16 05:22

При попытке освободить результат
$result = $m_safeSQL->query($sql, $data);
$m_safeSQL->free($result);

OpenServer вываливает мне сообщение
Warning: mysqli_free_result() expects parameter 1 to be mysqli_result, boolean given in \M_SafeMySQL.php on line 191

Warning: Cannot modify header information - headers already sent by (output started at \M_SafeMySQL.php:191) in \C_New.php on line 29

Может я неправильно использую функцию освобождения, или после выполнения query не записывается результат, не пойму в чем дело, так как сам запрос отрабатывает.

Ответ:

Да, вы неправильно используете эту функцию.

Если запрос был не на выборку данных, то никакого результата функция и не возвращает. То есть, освобождать нечего. Поэтому и ошибка.

В большинстве случаев освобождать результат не нужно. Это стоит делать только если использовался запрос, который возратил очень много данных. Но на стандартной веб-страинце таких запросов быть в принципе не должно. Поэтому можно вполне обойтись без этой функции.

Олег, 14.01.16 21:27

Подскажите пожалуйста как узнать количество строк в выборке без учета LIMIT. affectedRows() не подходит. А для numRows($result) нужен $result как я понял который возвращяет mysqli. И где его взять?

Ответ:

Хотя $result получить можно (его возвращает функция query()), он здесь не поможет. Потому то numRows() вернет количество строк с учетом лимита.

В Mysqli в принципе не существует такого функционала - "узнать количество строк в выборке без учета LIMIT". Это можно сделать только средствами mysql. В статье http://phpfaq.ru/mysql/paginator#new показано, как это сделать. Посмотрите, как там это сделано.

Пишите вопросы, если что-то осталось непонятно.

XAM, 13.01.16 23:45

В продолжении вопроса о вставке массивом.
$user = array(
'id' => $id,
'name' => $_GET['post_id'],
'age' => '17',
'adress' => 'Москва, ул. Радиальная, 12'
);
$db->query('INSERT INTO `test` SET ?u', $user);
1. Обработчик различает где строковые, а где числовые переменные?

Ведь в такой конструкции все логично $db->query('INSERT INTO `test` VALUES (?a[?n, "?n", "?n", "?s"])', $user);
где n - числовое
s - строковое
2. Или же все переменные в массиве все-таки надо предварительно обезопашивать? Хотя по логике в этом удобство, что все это делает сам класс.

Ответ:

Обработчик обрабатывает все переменные, как строковые. Mysql это позволяет, и никаких проблем это не создает.
Никак "обезопашивать" данные не нужно, поскольку этим занимается обработчик.

Смысл плейсхолдера ?u как раз в том, чтобы не писать запрос вручную, а формировать его из массива, в котором ключи имеют те же имена, что и поля в таблице, а значения - значения, которые надо вставить или обновить.

XAM, 13.01.16 01:32

А почему вы не предусмотрели константу для
const RESULT_ASSOC = MYSQLI_ASSOC;
const RESULT_NUM = MYSQLI_NUM;
а MYSQLI_BOTH вообще не участвует.
Ну просто опционально можно было бы ввести константу const RESULT_BOTH = MYSQLI_BOTH;или нет никакого смысла в этом, если всегда используешь ассоциативный массив?

Ответ:

Не всегда. Но если тебе нужны цифровые индексы, то надо выбрать NUM. Использовать и те и другие одновременно смысла нет.

XAM, 12.01.16 14:07

А варианты примеров вставок, например массивом можно представить в статье?
Что то типа такого
$user = array(
'id' => null,
'name' => '%Настя%',
'age' => '17',
'adress' => 'Москва, ул. Радиальная, 12'
);
$db->query('INSERT INTO `test` VALUES (?a[?n, "?s", "?s", "?s"])', $user);

Ответ:

Для этого есть плейсхолдер ?u

$db->query('INSERT INTO `test` SET ?u', $user);

Денис, 14.12.15 12:40

а комментарии у Вас на тоже используют "Класс для безопасной и удобной работы с MySQL" ?

Ответ:

Да, как и на всем остальном сайте, для доступа к БД используется safemysql. Это сокращает количество кода больше чем в два раза.

Прошу прощения за задержку с просмотром кода, но пока нет времени. Обязательно посмотрю в ближайшее время и отпишусь.

Марат, 07.12.15 13:44

Я как раз читал про области видимости перед тем как задать вопрос, но, видимо, не совсем правильно усвоил.

Я считал, что сначала надо объявить что $db будет глобальной переменной, потом создать экземпляр класса
<?
include 'functions.php';
include 'safemysql.php';
global $db;
$db = new SafeMySQL... ?>
И объявленная здесь global $db; будет доступна во всех остальных скриптах.

Получается здесь global $db; не нужен, а нужен в function.php внутри каждой функции:
function get_page ($id) {
global $db;
$page = $db->getAll(...);
}

Придется перечитать и попрактиковаться с этим.
Спасибо за помощь.

Ответ:

Да, все правильно. Если переменная уже в глобальной области видимости, то перед использованием делать ее глобальной не надо.

А вот если бы $db определялась в локальной области видимости - напримерв внутри функции - тогда да, ее надо было бы делать глобальной перед использованием.

Это действительно сложный для понимания момент, с этим все сталкиваются поначалу.

Вообще, поскольку глобальные переменные можно изменять, их использование считается не очень хорошей практикой, и со временем надо будет от нее отходить. Но для начала это самый простой и удобный способ.

Марат, 07.12.15 11:18

Спасибо за хороший класс. Очень все понятно и удобно. Для меня как новичка в пхп это очень важно.

У меня пока мало знаний в пхп. Поэтому хотел у вас проконсультироваться.

В index.php делаю
include safemysql.php и function.php;
потом создаю экземпляр класса
$db = new SafeMySQL(....);
Далее
$page = $db->getRow('SELECT * FROM 'pages' WHERE id=?i', $_GET['id']);
Все понятно, все работает.

В файле function.php есть функции, например, get_page_list(), в котором с помощью getAll() с нужными параметрами получаю список страниц. Но это не срабатывает (PHP Fatal error: Call to undefined function getAll()), так как, я думаю, в файле function.php перед getALl() необходимо создать экземпляр класса $db = new SafeMySQL...

Если таких функций в файле function.php много, придется для каждого создавать экземпляр класса? Мне кажется, что это плохо скажется на эффективности. Или есть другие способы?

Заранее благодарю, если сможете уделить время моему вопросу.

Ответ:

Спасибо за отзыв и хороший вопрос.

Все верно, существует такая особенность, как область видимости. почитать про нее можно в мануале: http://php.net/manual/ru/language.variables.scope.php

Соответстенно, самым простым решением будет в начале функции написать

global $db;

и дальше можно будет обращаться к классу как обычно,

$data - $db->getAll(...);

Пишите, если будут еще вопросы.

Денис, 05.12.15 04:11

Спасибо, да опечатка с кода копировал (там просто имена у меня), а в сообщении редактировал

Денис, 04.12.15 16:28

$tables_list = $db->getAll("SHOW TABLES FROM ?n","$db_name")----какие таблици в базе
$columns_list = $db->getAll("SHOW TABLES FROM ?n","$table_name");----какие столбци в таблице
Работает, но правельно ли?

Ответ:

Да, с точки зрения работы с БД все правильно, только во втором запросе наверное опечатка.
Только одно замечание - переменные в РНР пишутся без кавычек. Для строк это не критично, но для других типов может подложить свинью. Так что у переменых кавычки надо убирать:

$tables_list = $db->getAll("SHOW TABLES FROM ?n", $db_name);
$columns_list = $db->getAll("SHOW COLUMNS FROM ?n", $table_name);

Денис, 02.12.15 14:12

Есть (или планируется добавление) ли метода для удобной вставки нескольких значений?
Например: INSERT ... (col1, col2) VALUES (val1, val2), ... (val11, val22)

Ответ:

Вообще планы есть. Но движутся очень уж медленно.
Код, который используется для множественной вставки сейчас, есть в примерах:
http://phpfaq.ru/safemysql/examples#multiinsert

но сейчася понимаю что да, это не очень красиво. Думаю в будущем добавить поддержку массивов для любого типа плейсхолдеров. То есть, будет плейсхолдер ?aa, который и будет делать строку вида (val1, val2), ... (val11, val22) из вложенного массива.

Atrm, 18.11.15 02:51

Atrm
Нет, это не shared хостинг. Выделенный сервер, обычные запросы через mysqli_query проходят отлично

Ответ:

А. Ну так здесь те же обычные запросы через mysqli_query. Думаю, причина в том, что в какой-то части скрипта соединение закрывается раньше.

Atrm, 16.11.15 21:04

На счет поста #Atrm, 11.11.15 04:29.
Данных очень мало. Это обычный запрос на создание таблицы.

Что можете посоветовать и почему это происходит через раз?

Ответ:

Если это шаред хостинг, то сервер БД могут нагружать другие пользователи.

Роман, 14.11.15 01:24

С первых минут проб использования могу сказать - супер класс. Давно не помню что бы использовал что то не свое и что бы при этом не пришлось стереть глаза об документацию и тошнить кучу тестов. Желаю что бы вам эта немалая работа принесла все виды удовлетворения, в том числе материальные)

Ответ:

Спасибо за столь эмоциональный отклик! И вдвойне приятно встретить единомышленника. Но не верю, что буквально 100% нравится. Наверняка же есть замечания или предложения по улучшению? Если появятся - буду рад услышать

Atrm, 11.11.15 04:29

Почему возникает такой трабл?
SafeMySQL: MySQL server has gone away.

Причем не каждый раз, через раз.. То выдает fatal error, то все нормал.

Ответ:

Такая ошибка возникает, когда клиент создает слишком большую нагрузку - либо слишком долго работает с БД, либо посылает слишком большой пакет данных. Также ошибка может возникать, если попытаться обратиться к БД после того, как соединение закрылось.

Если это скрипт, который работает с большими объемами данных, то можно попробовать поднять лимиты - max_allowed_packet и wait_timeout в mysql.

Если это обычный скрипт, который отрабатывает доли секунды и грузит не больше пары мегабайт данных, то надо больше информации.

Алексей, 03.11.15 12:42

Прекрасно!

Алексей, 02.11.15 23:06

Спасибо, ночь, видимо - плохо пошевелил мозгами, прежде, чем спросить.
Из той же серии - и защита от инъекций при способе с parse сохраняется?

Ответ:

Тут вопрос не в parse(), поскольку эта функция так же безопасна, ак и все остальные - до тех пор, пока переменные в нее попадают через плейсхолдеры, она безопасна.

Тут вопрос в плейсхолдере ?p, через который данные попадают в запрос без обработки. Но если данные для него состоят либо из прописанного в скрипте кода и результатов parse(), этот плейсхолдер безопасен

Алексей, 02.11.15 22:45

Здравствуйте!

Прежде всего, гениальная библиотека, максимально приятно работать!

Есть вопрос - как правильно передать массив значений s1,s2, .. в запрос с where string_field like '%s1%' or string_field like '%s2%' or ..?

Ответ:

Здравствуйте!
Передавать как обычно, через плейсхолдеры,
"where string_field like ?s or string_field like ?s", '%s1%', '%s2%'

Если хочется автоматизировать сборку запроса, то можно воспользоваться функцией parse():

$where = array();
foreach ($searcharr as $str) {
$where[] = $db->parse("string_field like ?s","%$str%");
}
$wherestr = implode(" OR ",$where);
$db->getAll("SELECT * FROM table WHERE ?p",$wherestr);

Рад, что библиотека понравилась, задавайте еще вопросы, если будут!

Алексей, 30.10.15 13:34

Подскажите пожалуйста а как можно узнать идентификатор только-что добавленной записи?

Ответ:

Для этого служит метод insertId(), например

$id = $db->insertId();

Eugeny, 29.10.15 08:31

Библиотека очень понравилась. Спасибо!

Ответ:

Очень приятно это слышать! Обращайтесь с вопросами, если возникнут!

Eugeny, 29.10.15 06:20

Здравствуйте. Спасибо за библиотеку. Как быть с mysql_insert_id()?

Ответ:

Здравствуйте! Надо использовать метод $db->insertId();

Вадим, 27.10.15 21:42

Прошу прощения за глупый вопрос от "чайника" - а как подключить себе эту замечательную библиотеку? И второй вопрос - если запрос вида id=2015/arhiv_hydro_2015 - то какой из плейсхолдеров надо использовать?

Ответ:

Подключить обычным способом - через include. Вся библиотека состоит из одного единственного файла, который можно скачать по ссылке выше и просто сделать include()
Про плейсхолдеры правило простое - если не знаешь, какой применить, то надо применять строковый - ?s

Если будут еще вопросы - спрашивайте, не стесняйтесь!

Денис, 21.10.15 11:33

Можно ли вернуть объект вместо ассоциативного массива?

Ответ:

Нет, в данный момент, к сожалению, нельзя.
Но я могу добавить этот функционал.

Денис, 27.09.15 15:39

А зачем разбивать строку с помощью регулярок на множество массивов? Это же неимоверно громоздко в плане производительности. Почему просто не пройтись циклом по строке?

Ответ:

Говорить о "неимоверной громоздкости" можно только в том случае, когда речь идет о массиве с сотнями тысяч элементов. В случае же, когда элементов от силы два десятка, никакой разницы в плане производительности заметить не удастся. Зато сам код получается ничуть не громоздким, а наоборот - весьма компактным и аккуратным.

Но я соглашусь, что посимвольный лексер был бы более академически правильным решением. Если напишете, то я буду только рад принять пулл-реквест.

Денис, 27.09.15 14:41

В конструкторе:
> unset($opt); // I am paranoid

*я нашёл свою родную душу*

Игорь, 26.09.15 18:03

Подключил библиотеку, сделал тестовый пример на запись, почему то двоит запись при инсерте в базу
делал как в примере в описании:
$db = new safemysql(Core::gi()->config['mysqldb']['system']);
$sql = "INSERT INTO test SET name=?s, value = ?s";
$db->query($sql,"test_name","test_value");

Что делаю не так не понимаю. Сегодня буду разбирать код модуля (думаю что что то где то не дочитал видимо)

Ответ:

В коде модуля ничего такого нет :)
Обычно, если запрос выполняется дважды, это указывает на неверную реализацию роутера, который запускает код для ЛЮБОГО обращения к серверу, а не только валидного. И в итоге код выполняется при обращении к любому несуществующему файлу. А браузер всегда делает запрос к favicon.ico...
В общем, для отлова двойных запросов в первую очередь смотреть в консоли браузера вкладку Сеть.

Но если все-таки соберётесь посмотреть код, я буду рад замечаниям!

Антонио, 20.08.15 12:30

Не могу сделать выборку по более 51 одной строки, когда начинаю выбирать по полю с датой (timestamp) .Только 51 одну строчку выдает.
Как уже не пробовал, кто нибудь сталкивался?
Вот варианты

$momentStart = '2012-12-22%00:00:00';
$momentEnd = '2012-12-22%23:59:59';
$data = $this->getAll("SELECT moment FROM ?n WHERE moment > ?s + INTERVAL 24 HOUR LIMIT ?i", $table, $momentStart, $limit);

$w = array();
$w[] = $this->parse("moment >= ?s", $momentStart);
$w[] = $this->parse("moment <= ?s", $momentEnd);
$where = "AND ".implode(' AND ', $w);
$data = $this->getAll("SELECT * FROM ?n WHERE 1 ?p LIMIT ?i ", $table, $where, $limit);

// $data = $this->getAll("SELECT * FROM ?n WHERE type=?s LIMIT ?i",$table, $type, $limit);

Ответ:

Скорее всего проблема в переменной $limit. Если надо получить больше строк, то надо увеличить ее значение.

Sem, 23.07.15 16:30

оказалось что на сервере не стоит mysqli
спасибо поддержке

Sem, 23.07.15 15:10

продолжение записи ниже.. в 1 не влезло

вот сам скрипт
<?
ini_set('display_errors', 1);
ini_set('error_reporting', E_ALL);
require_once("SafeMySQL.class.php");
$db = new SafeMySQL();
echo 'sss';
var_dump($db);
echo 'sss';
?>
суть в том, что он не просто выводит нотайс, он перестает работать..т.е. вот echo 'sss'; он не выводит...
надеюсь на помощь. спасибо!

Sem, 23.07.15 15:07

Помогите пожалуйста.
Делал на локалке, загрузил на хостинг

Notice: Use of undefined constant MYSQLI_ASSOC - assumed 'MYSQLI_ASSOC' in /home/bitrix/www/folder/sese.php on line 5
Notice: Use of undefined constant MYSQLI_NUM - assumed 'MYSQLI_NUM' in /home/bitrix/www/folder/sese.php on line 5
это же в логах пишет..

пробовал вот так
define('RESULT_ASSOC', MYSQLI_ASSOC);
define('RESULT_NUM', MYSQLI_NUM);
результат следующий..
Parse error: syntax error, unexpected 'define' (T_STRING), expecting function (T_FUNCTION) in /home/bitrix/www/folder/SafeMySQL.class.php on line 79

понимаю, что косяк в настройках сервера, на других хостингах - все окей, но надо решить тут задачу..

Ответ:

К сожалению, на этом сервере не установлено расширение mysqli

Николай, 22.07.15 17:17

316 строка класса
Метод SafeMySQL::getInd
$ret[$row[$index]] = $row;
$row - обычный ассоциативный массив PHP например:

$index - у меня имеет значение tree_id
$row[$index] - у меня получается = 205
Знаете к чему приводит конструкция
$ret[$row[$index]] = $row; ?
К тому, что в "resultset" или в $ret по итогу я вижу только одну строку - последнюю.

Читаю описание метода SafeMySQL::getInd:
Helper function to *get all the rows* of resultset
Собственно вопрос, как правильно использовать функцию getInd() ?
Конечно если строку подправить на $ret[$row[$index]][] = $row; - все работает

Ответ:

Спасибо за вопрос.
Судя по всему, вам просто не нужна функция getInd().
Требуемый функционал обеспечивает функция getAll() - именно она собирает результат в простой нумерованный массив оператором []
А getInd() служит для индексации полученного массива уникальным полем.

Описание первого параметра функции не содержит слово "уникальный",это моё упущение. Я исправлю это в следующем коммите.

Борис Лапин, 21.07.15 01:09

Спасибо за отзыв.
все пожелания принял. Реализую в ближайшее время.

Борис Лапин, 20.07.15 01:40

Огромное спасибо за пример реализации типизованных плейсхолдеров. Узнал о вас(и проникся идеей) я с презентации на DevConf 13ого года. У меня такой вопрос. Почему вы не использовали PDO? Ведь там уже есть типизованные плейсхолдеры, разве что без возможности сразу же в строке запроса указать им тип. В общем не буду говорить "почему бы не взять и не сделать так-то...", а просто кину ссылочку на то, как вижу я реализацию подобной функциональности на PHP.
Делал для своего движка, так что название соответствующее.
https://bitbucket.org/MrBoriska/atmpdo-wrapper
Буду благодарен за отзывы.

Ответ:

Для начала поясню свое понимание термина "типизованный плейсхолдер" - это именно тот, у которого "сразу же в строке указан тип". ведь речь идет о плейсхолдере - то есть значке, который пишется в строке запроса. И тут может быть только два варианта - если у значка указан тип, то он типизованный, а если нет - то нет. То есть, в ПДО он НЕ типизованный. Возможность далее по коду указать тип делает всю идею бессмысленной, увеличивая количество писанины. Mysqli (да, в сущности, и любой другой драйвер, поддерживающий подготволенные выражения) это умеет. Принцип именно в указании прямо в строке.

Теперь о вашем движке.
Мне очень понравилось. Поняты и соблюдены практически все идеи, заложенные в мой класс (что, увы, встречается достаточно редко).
Но я бы предложил несколько замечаний.
1. В конструкторе обязательно включить режим исключений.
2. а вот чарсет прописывать надо в DSN
3. обязательно надо сохранить дефолтные плейхолдеры (без типа) и обрабатывать как строки. Это значительно облегчает миграцию.
3. в getAll обязательно передавать тип выборки, а не прописывать хардкодом ассоциативный массив
fetchAll имеет слишком много полезных режимов, чтобы их выбрасывать. А тип выборки по умолчанию можно задать в конструкторе. См. статью о ПДО на этом сайте

Алексей, 17.07.15 15:19

Хорошая штука. Раз - и голова не болит :)

Дмитрий, 16.07.15 17:50

Я верю. Пробежался по коду, что знаю-то знаю, что не знаю - php.su(*.net). С ORM не сталкивался. Прочитал что это. Тема интересная. Но пока использую класс. Спасибо =)

Дмитрий, 16.07.15 16:53

Здравствуйте. Этот класс 100% безопасен? От любой SQL-инъекции защищает?

Ответ:

Если запрос всегда пишется руками в скрипте, и ЛЮБАЯ переменная ВСЕГДА попадает в него только через плейсхолдер (любой кроме ?p), то класс 100% безопасен, защищает от любых инъекций.

Если есть сомнения, то лучше взять какой-нибудь ORM - тогда у тебя не будет доступа к SQL вообще, и как следствие - возможности внести в код инъекцию.

Вася, 25.06.15 14:46

Не понятно вообще. Не работает нормально...

Ответ:

Что именно не работает?

Wielski, 20.06.15 20:52

Вопрос довольно странный, но тем не менее.
Почему вы используете mysqli?
Пользуюсь вашим классом достаточно долгое время, и не задавался этим вопросом, но при переходе на hhvm (пишем довольно серьезный проект, и держать его на медленном PHP нецелесообразно) заметил, что ваш класс не работает по причине отсутствия поддержки mysqli в hhvm.
Не лучше было бы заменить устаревшие функции поддержкой PDO?
С уважением, Андрей.

Ответ:

Спасибо за интересный вопрос.
В первую очередь, он продиктован заблуждением: mysqli - это не mysql. Ничего устаревшего в этом расширении нет, оно официально поддерживается и развивается. И по количеству фич по работе с БД Mysql даст PDO огромную фору.

По поводу скорости - осенью выйдет РНР7, который сделает переход на HHVMнеактуальным.

По поводу переписывания - я не вижу большого смысла, хотя это сделать и нетрудно. Дело в том, что PDO уже сам по себе враппер, и поддерживает плейсхолдеры для основных типов данных. Если делать что-то похожее на Safemysql, то это надо будет делать совсем по-другому.
Но в принципе я бы с интересом посмотрел реализацию.

Андрей, 06.05.15 14:40

Почитал о данном классе в сети. Решил подключить класс к своему локальному проекту. Но при анализе класса не нашел функций закрытия msql соединений.
Кто подскажет как происходит отключение. Или у кого есть более подробные примеры, или полное описание класса?

Всем спасибо.

Ответ:

Ээээ... Ну, если так очень надо, то можно просто написать $db = null;

Игорь, 28.04.15 20:59

Извините, опять поспешил писать вопросы, разобрался сам. И всего-то надо было посмотреть пример в safemysql.class.php. Ещё раз спасибо за класс, пользоваться очень удобно.

Игорь, 28.04.15 20:47

Добрый вечер! Не получается использовать функцию getIndCol. Есть таблица вида: product_id, product_parent_id и т.д. Хочу получить одномерный массив элементов вида: product_id->product_parent_id. Делаю так: $db->getIndCol(product_id,"SELECT product_sku FROM jos_vm_product WHERE product_id IN (4721,4720,4719)"). На выходе получаю Notice: Undefined index: product_id in safemysql.class.php on line 302. Очевидно что-то не так делаю, да?

Игорь, 27.04.15 08:37

Предыдущий мой вопрос снимается, нашёл метод affectedRows(). Ещё раз спасибо за отличный класс, работать очень удобно!

Вадим Егоров, 18.04.15 22:41

Я бы хотел узнать, на каком основании предоставляется скрипт. То есть если я использую его в своем движке, нужно ли указывать какие-либо ссылки на автора и можно ли вообще использовать данный скрипт в коммерческих целях?

Ответ:

Ничего специально указывать не нужно, достаточно оставить информацию в файле как есть. В коммерческих целях использовать можно.
На гитхабе со скриптом рядом лежит лицензия в которой все это примерно и говорится.

SCRIBE, 08.04.15 15:19

Отписал на Гитхабе по поводу улучшения вашего класса...

Ответ:

ничего не приходило

Andrei, 24.03.15 01:02

Класс для работы отличный и очень удобный. Спасибо большое!!!

feedree, 06.03.15 13:58

Подскажите, а как обрабатывать ошибки, например, если INSERT вернулся с ошибкой?

Ответ:

Никак не обрабатывать. При нормальных настройках сервера ошибка либо выведется на экран, либо сохранится в лог. Там ее посмотреть и исправить.

Владимир, 05.03.15 21:12

Отличный класс! Писал свой, но потом нашел этот и решил использовать его. Лично мне это сэкономило много времени. Спасибо автору!

Артем, 28.02.15 13:31

Попал сюда со статьи на Хабре. Хабр уже не тот, комментарии читать просто смысла нет, одни, т.н. "тролли". Сплошь и рядом только "короли" сидят, которым, почему-то, все остальные должны угодить. Это не касалось дела, конечно. А по делу: прекрасный шаблон, удобный, безопасный. Автору спасибо.

Глеб, 24.02.15 21:30

Я все понимаю, но ведь не проще сделать код более менее меньше ? Зачем я инклудю еще файл в большим количеством строк ? Мне достаточно JQuery который будет грузить мой сайт.
Не легче просто сделать файл, в котором все закрывается ? (Или закрывается в конце условия) я про мускул. В крайнем случае уже нет смысла писать сайты в ручную ? Есть движки....
Программирование после этого теряет смысл в глубине знаний...

BlackCat, 07.02.15 17:53

Почему библиотека не написана в стиле singleton ?

Ответ:

Это интересный вопрос. Есть много людей, которые возражают против этого патерна. В любом случае, саму библиотеку делать в этом стиле не следует - для получения синглтона нужно написать отдельный враппер. проще всего это сделать в виде функции со статической переменной

Nikita, 07.09.14 22:37

Добрый День!
ПОдскажите, пожалуйста, возможно ли доработать ваш класс так, чтобы он стал синглтоном, или как правильно его использовать в целях создания единственного подключения?

Евгений, 21.08.14 10:35

Добрый день! Не подскажете, есть ли у Вас дебаг? Хотелось бы как в ADOdb: $db->debug=true; для включения отображения SQL запросов и $db->debug=false; для отключения. Очень удобная штука, чтобы видеть как выглядит запрос. Пока пишу вместо SELECT DELECT чтобы увидеть запрос при возникновении ошибки.

Ответ:

Есть два варианта:
Во-первых, метод lastQuery(), который вернет последний запрос с подстановленными значеними.
Во-вторых, если вместо query() или get***() подставить parse() то эта функция вернет текст запроса, вместо того чтобы его исполнять

Григорий, 25.07.14 18:15

Используя ?a - может получиться так, что массив для ?a будет пустым, тогда получится запрос:
SELECT * FROM `table` WHERE `id` IN ()
и он не выполнится.

Можно какую-нибудь проверку в класс встроить?
Иначе, сейчас приходится:
$massiv=array(0=>0)

Ответ:

Такая проверка есть.
Если массив пустой, то получится запрос
SELECT * FROM `table` WHERE `id` IN (NULL)
И он выполнится, вернув ноль строк.

К сожалению, для NOT IN(NULL) запрос тоже вернёт ноль строк - об этом надо помнить.

Тимур, 30.06.14 02:29

Может я был невнимателен, но так и не понял, как защищается плейсхолдер ?u.

Мы передаем ему ассоциированный массив, ключи можно отфильтровать с помощью filterArray, но значения - допустим, они пришли с клиента - они как-нибудь обезвреживаются? Там могут быть и целые числа, и строки, все вмест, и мы не указываем тип каждого параметра. Они все обрабатываются как строки?

Ответ:

Да, ключи обрабатываются как идентификаторы, а значения обрабатываются как строки. То есть, с точки зрения инъекции ?u на 100% защищён.
Для mysql абсолютно нормально передавать любые данные как строки - они всегда будут обработаны корректно, будь это целые числа или бинарные данные.

В случае, если надо добавить не строку (а результат функции, например) - это поле надо вынести из массива, и передать прямо в запрос. Пример есть на соответствующей странице: http://www.phpfaq.ru/examples#insert
При этом принцип должен оставаться прежним - сами данные всегда передаются только через плейсхолдер.

Віталій, 29.06.14 20:15

Можеш зробити master-slave? Було б добре.

Ответ:

Это не уровень библиотеки. Это надо реализовывать на уровне приложения. Создавать два соединения, и передавать их в приложение.
Если я правильно понял, о чем речь (пишем на мастер, читаем со слейва)

Александр, 11.06.14 00:17

можно пример вывода в цикле while по запросу сортировки ID по DESC ?

алекс, 15.05.14 16:47

а как вам ***_database? по моему вы начали вместе писать я не ошибаюсь?

Ответ:

Это просто неудачный плагиат. Никто ничего "вместе" не писал. После того как я выложил свою библиотеку, стали появляться подражатели. Я особо за ними не слежу, но в обсуждении на форуме конкретно в этой либы в ней нашли много косяков и уязвимостей.
В общем, к той библиотеке я не имею никакого отношения.

Илья, 03.04.14 10:30

Спасибо за класс, но как-то не очень понялось, как, не глядя внутрь класса, понять, почему не добавилась запись в базу? Пользователь совершил ошибку при вводе и произошла, например, попытка записи значения, которое уже имеется в поле и не должно повторяться. Надо же юзеру об это вежливо сказать, а мы имеем только false на $db->query('insert into ?s vaues ( .. ?i .. )', $table, .., $unique_code, ..) что надо "расковыривать" что бы получить инфу от том, что случилось в базе? $db->getStats() ?

Ответ:

Ничего не надо расковыривать - будет автоматически сгенерирована ошибка РНР. А если в настройках поставить 'errmode' => 'exception' (я как раз хочу сделать такой режим по умолчанию) то - исключение. Которое можно будет поймать и обработать соответствующим образом.

Но по-хорошему, программист не должен допускать таких ситуаций, при которых ошибка вообще может возникнуть. В данном случае желательно проверить существование уникального поля заранее

Дмитрий, 15.01.14 15:59

Поддержки mysqli_multi_query нету. Честно говоря, я не вижу смысла в этой функции.

Смысл есть, когда делаешь insert, например, 10тысяч строк, инсерт одним multi_query выполняется куда быстрее, проверено на практике.
И так и не понял как отслеживать ошибки, у меня при неправильном запросе программа падает в Fatal Error, покажите пожалуйста на примере как с этим работать.
Спасибо.

Ответ:

insert на 10 тысяч строк лучше делать через LOAD DATA INFILE

По поводу отслеживания ошибок - вот этот фатал и отслеживать. В лог файлах, как написано в http://www.phpfaq.ru/debug2

Только если ошибка некритичная, и после неё можно продолжить работу, то можно включить в конфигурации режим исключений, и отлавливать ошибки через try..catch. Но только ни в коем случае не использовать этот механизм для отслеживания - поскольку пхп отследит лучше и безопаснее

Александр, 07.01.14 19:12

При использовании $db->getRow, если не делать никаких поправок, а внутри будет лежать XSS-скрипт, выполнится ли он?

Ответ:

Выполнится. XSS не имеет к SQL никакого отношения. Для защиты от XSS надо использовать совсем другое решение - продвинутый шаблонизатор. Twig, например.

gents, 24.10.13 22:59

Переехал на новый сервер, вот такие вот ошибки:
Notice: Use of undefined constant MYSQLI_ASSOC - assumed 'MYSQLI_ASSOC'

Notice: Use of undefined constant MYSQLI_NUM - assumed 'MYSQLI_NUM'
гугл не смог ответить что случилось((( Очень надо поднять проект.

Ответ:

Это ОЧЕНЬ странно.
А mysqli вообще на хосте установлена?
Если точно да, и нет только этих двух констант, то вместо них можно написать 1 и 2:

const RESULT_ASSOC = 1;
const RESULT_NUM = 2;

Но мне кажется, что это просто mysqli целиком нет - и надо доставлять или подключать в php.ini

Гость, 26.09.13 01:23

Здравствуйте, скажите пожалуйста, как используя ?u сделать инкремент значения? Ведь на выходе, при использовании array('something' >= 'something + 1') получится
... SET `something` = 'something + 1', ...
а надо
... SET `something` = something + 1, ...

Ответ:

Здравствуйте! Спасибо за хороший вопрос.
Все специальные случаи я пишу руками в запросе используя единичные плейсхолдеры, вынося соответствующую переменную из общего массива. Вот как показано в примере:
"INSERT INTO table SET dt=NOW(), ip=inet_aton(?s), ?u"
$db->query($sql, $ip, $data);
то есть ?u - не догма, а просто небольшое упрощение.
Соответственно, в вашем случае something просто не должно быть в массиве, а запрос пишем так:
SET `something` = something + 1, ?u

И вообще рекомендую страничку с примерами:
http://phpfaq.ru/examples
там многие подобные случаи разобраны

Сергей, 19.09.13 20:04

$data = $db->getInd('id','SELECT * FROM ?n WHERE id IN ?a','table', array(1,2));
запрос получается "SELECT * FROM `table` WHERE id IN '1','2'"
не проходит, так как IN'1','2', a нужно IN('1','2')
или я что-то не так понял

Ответ:

Прошу прощения, это была опечатка. В запросе должны быть скобки.
Исправил. Спасибо за замечание!

Алексей, 30.08.13 18:04

Добрый день. Спасибо за ваш проект - моя работа значительно упростилась :)
Но за время использования возникло несколько вопросов.
1. Не нашел в классе mysqli_multi_query. Как оно реализуется? Пока что расширил класс своим вариантом.
2. Не совсем понял как правильно отслеживать ошибки при 'errmode' => 'error'. Поясню - в моем случае trigger_error($err, E_USER_ERROR); не совсем подходит, пришлось поменять на trigger_error($err, E_USER_WARNING);, и это усугляется тем что, к примеру, getCol() возвращает false не только при ошибке, но и при пустом результате. Есть ли решение, или эксепшн класс - единственный выход?

Ответ:

Спасибо за отзыв.
Поддержки mysqli_multi_query нету. Честно говоря, я не вижу смысла в этой функции. С удовольствием послушал бы аргументы за.
От режима ошибок я хочу совсем отказаться в новой версии, оставив только исключения. То есть, при ошибках функция вообще никогда ничего не будет возвращать - и проблема таким образом снимется :)
А отдельный вдеь класс не нужен - вполне ведь можно обойтись стандартным Exception? или нет?
Вот, сделал тему в форуме http://www.phpfaq.ru/forum/thread.php?id=1263 можно там продолжить

Евгений, 15.08.13 12:12

Здравствуйте, подскажите как быть со stored-процедурами что возвращают данные (выполняют команду select внутри)?
При повторном вызове такой процедуры используя одно соединение с базой возникает ошибка "Commands out of sync"

В mysqli эта проблема решается выполнением следущего кода после каждого вызова хранимой процедуры:
while($connection->next_result()) $connection->store_result();

Ответ:

Да, у меня стоит эта проблема в ошибках.
Я в выходные сделаю исправление. Можно даже не сторить - там пустой результат возвращается, который просто не нужен.

Александр, 15.08.13 00:05

Код страшный. Но действительно удобно работать с этим классом.
$query = $comma = '';
foreach ($data as $value)
{
$query .= $comma.$this->escapeString($value);
$comma = ",";
}
return $query;

Почему бы не заменить на implode?

Ответ:

Спасибо за лестную оценку :)
А что конкретно страшного? Ну, кроме этого куска?
В общем да, на implode заменить можно было бы. Просто код взят из цикла для SET, а там всё равно строку собирать, так что лишний массив был бы явно лишним.

Александр, 15.07.13 16:24

Спасибо большое за класс!
Немного модифицировал Вашу функцию createIN() для возможности вставки двумерных массивов, может кому понадобится:

private function createIN($data)
{
if (!is_array($data))
{
$this->error("Value for IN (?a) placeholder should be array");
return;
}
if (!$data)
{
return 'NULL';
}
if (!is_array($data[0]))
{
$query = $comma = '';
foreach ($data as $value)
{
$query .= $comma.$this->escapeString($value);
$comma = ",";
}
}
else
{
$query = $subcomma = '';
foreach ($data as $subdata)
{
$comma = '';
$query .= $subcomma.'(';
foreach ($subdata as $value)
{
$query .= $comma.$this->escapeString($value);
$comma = ",";
}
$query .= ')';
$subcomma = ",";
}
}
return $query;
}

Ден, 03.06.13 15:26

Ох ох... сорри за предыдущий отзыв... не заметил pconnect... всё работает ;)

Ден, 31.05.13 10:22

В процессе работы демона использующего ваш класс возникает ошибка "MySQL server has gone away" при длительном простое. В классе не предусмотрено никаких действий на этот случай.

wkolololo, 15.04.13 21:04

Автор, почитайте про UTF7, IE6 (мб более старая версия) и символы <>. Комбинируя все это, через htmlspecialchars пройдет xss.

Евгений, 09.04.13 16:11

Спасибо за проделанную работу, пользуюсь в своих проектах!

Ответ:

Спасибо за отзыв!
Очень рад, что используется.
А замечаний-вопросов-предложений не возникало?

wkolololo, 09.03.13 19:03

htmlspecialchars() можно обойти и xss пройдет

Руслан, 02.03.13 16:12

ПРиветствую. Прочитал ваш пост на хабре и использовал вашу библеотеку в своем проекте (Огромное спасибо за простоту использования и ясность описания вцелом). С высоты Вашего опыта прокомментируйте ситуацию: рассмотрим общий случай. имеем textarea на сайте куда пользователь может вписать все что УГОДНО. Через ?s отсылаем. 1) (или как можно обезопасить ввод) ???
2)Как безопаснее в дальнейшем мне вывести данные в браузер из базы?(сейчас использую (textarea_text_iz_mysql))

Ответ:

Всё верно. Текстария пишется через ?s и никакие белые списки тут не нужны. ?s уже делает ввод безопасным.
Белые списки нужны только для идентификаторов.
Вывод через nl2br(htmlspecialchars()) - отличное решение. htmlspecialchars() - достаточная защита от XSS.

Дима, 29.01.13 18:44

Здравствуйте еще раз,

"Функция призвана делать словари, массивы вида "ключ" => "значение"."

То есть эта функцию применима, только когда необходимо выбрать 2 поля из таблицы?

Ответ:

Да
Когда нужно больше полей, то испольузуется getInd()

Олег, 27.01.13 02:54

Как можно заменить mysql_insert_id()?

Ответ:

$db->insertId()

Антон, 25.01.13 22:41

Скажите, а вот есть возможность выполнить одну и ту же задачу несколькими способами, используя getAll и getInd. Можно их както выставить в градиент по предпочтительности, для решения схожих задач? И, совсем делетанство. Полученный объект перебираем foreach'ем?

Ответ:

getAll
Градиент выставляется очень просто, по бритве Оккама - из подходящих инструментов выбираем самый простой.
Результат перебираем foreach-ем, да.

Дима, 24.01.13 19:36

Функция getIndCol, строчка 323
while($row = $res->fetch($res))

да и сама функция не совсем понятно, что призвана делать

Ответ:

ох, до чего ж неприятная опечатка. исправилено. Спасибо огромное!
Функция призвана делать словари, массивы вида "ключ" => "значение".
довольно удобная штука.

Юрий, 10.01.13 11:00

Здравствуйте! Спасибо за интересную вещь!
А Вы не сталкивались с аналогичной бибилиотекой dibiphp.com? Что можете сказать о ней?

Ответ:

Нет, не сталкивался. Действительно, очень похожая!
На мой взгляд, у неё слишком перегруженный синтаксис.
Она берёт на себя функции, не относящиеся напрямую к SQL (форматирование дат, к примеру).
Плюс попытки реализовать внутренний синтаксис (который усложняет освоение, но всё равно остаётся ограниченным) - у меня же всё делает PHP и функция parse

Станислав, 09.01.13 12:25

Покажите пример мультизапроса, пожалуйста. Например вызов ХП и считывание результата.

call my_proc(123, @out1, @out2);
select @out1, @out2;

Спасибо.

Ответ:

Мультизапросы не поддерживаются.
Так что двумя последовательными запросами.
Надо бы, пожалуй, сделать поддержку.

Сергей, 08.01.13 22:15

Почему для DATE, FLOAT, DECIMAL и STRING используется один плейсхолдер?
На первый взгляд кажется что для FLOAT и DECIMAL лучше выделить отдельный.

Ответ:

Лучше, и я собираюсь сделать.
Но традиционно никто не заморачивается, и обычно пишут строкой.
Никаких проблем это всё равно не создаёт.

Олег, 21.12.12 03:00

Так где сам класс, исходник?

Ответ:

В процессе подготовки :)
Скоро выложу.

Класс для безопасной и удобной работы с MySQL

Не нашли ответ на свой вопрос?

Смотри также

Последние комментарии

Написать комментарий

Комментарии

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ:

Ответ: