PDOは生のクエリをMySQLに送信し、Mysqliは準備されたクエリを送信します。どちらも同じ結果を生成します

Noname 2013-08-02 21:02.

MySQLiとPDOを使用するときにプリペアドステートメントがどのように機能するかを知り始めました。最初のステップとして、ここで説明するようにMySQLクエリの監視を有効にしました。ライブのMySQLクエリを表示するにはどうすればよいですか。。次に、次のテストを作成しました。

mysqliの使用：

$stmt = $mysqli->prepare("SELECT * FROM users WHERE username =?")) {
$stmt->bind_param("i", $user);
$user = "''1''";

サーバーログ：

  130802 23:39:39   175 Connect   ****@localhost on testdb
    175 Prepare   SELECT * FROM users WHERE username =?
    175 Execute   SELECT * FROM users WHERE username =0
    175 Quit

PDOの使用：

  $user = "''1''";
  $sql = 'SELECT * FROM user WHERE uid =?'; $sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
  $sth->bindParam(1, $user, PDO::PARAM_INT);

サーバーログ：

  130802 23:41:42   176 Connect   ****@localhost on testdb
    176 Query SELECT * FROM user WHERE uid ='\'\'1\'\''
    176 Quit

ただし、どちらも同じ結果になります。

uid: 0
username: admin
role: admin

注：uid = 0正しいのはintval("''1''") = 0

ここで重要なこと：

PDOクエリがMySQLに異なるクエリを送信しているときに、どのようにして同じ結果が得られますか？

SELECT * FROM user WHERE uid ='\'\'1\'\''

PHPマニュアルから1つの兆候しか見つかりませんでした： http://www.php.net/manual/en/pdo.prepare.php

注意：

エミュレートされたプリペアドステートメントはデータベースサーバーと通信しないため、PDO :: prepare（）はステートメントをチェックしません。

しかし、私は、MySQLがこのクエリおよび代替を扱うことを確認する方法はないです'\'\'1\'\''と0。その場合、PDOを使用している場合、クエリの監視は正確ではありません。同時に、MySQLiではなくMySQLに送信された正確なクエリを知るには、PDOを使用する方が適切です。

更新：パラメータタイプfrm整数を文字列に変更した後：

MySQLiログ：

    188 Prepare   SELECT * FROM awa_user WHERE username =?
    188 Execute   SELECT * FROM awa_user WHERE username ='\'\'1\'\''
    188 Quit

PDOログ：

    189 Query SELECT * FROM awa_user WHERE userame ='\'\'1\'\''
    189 Quit

これは、文字列を使用する場合、MySQLiとPDOがMySQLに送信する前にデータをエスケープするのに対し、整数の場合、mysqliはクエリを送信する前にintval（）などを適用することを意味します。これも、Billが正しい回答です。

php mysql pdo mysqli

1 answers

Bill Karwin 2013-08-03 04:49.

PDOは準備されたクエリをエミュレートするように構成されていますが、mysqliは真の準備されたクエリを使用しています。

準備されたクエリは、文字列''1''を整数パラメータ値としてバインドします。PHPは、のようなものを使用して整数に強制変換しintval()ます。数値以外の先行文字を含む文字列は、PHPによって0として解釈されるため、prepare後に送信されるパラメーター値は値0です。

偽のプリペアドクエリは、MySQLが文字列を解析する前に、（バインディングの代わりに）文字列補間を使用''1''してSQLクエリに文字列を追加します。ただし、SQLは整数コンテキストで数字以外の先行文字を含む文字列も値0として扱うため、結果は同様です。

唯一の違いは、パラメータが準備前と準備後にバインドされたときに、一般的なクエリログに記録される内容です。

PDOに実際に準備されたクエリを使用させることもできるので、この場合はmysqliと同じように動作するはずです。

$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

PS：これは、id値を0ではなく1から開始するのが通例である正当な理由を示している可能性があります。

Japanese Russian Turkish

MORE COOL STUFF

メーガン・マークルは、自然な髪のスタイリングをめぐってマライア・キャリーと結ばれました

メーガン・マークルとマライア・キャリーが自然な髪の上でどのように結合したかについて、メーガンの「アーキタイプ」ポッドキャストのエピソードで学びましょう.

2022-12-23.

ハリー王子は家族との関係を修復できるという「希望を持っている」：「彼は父親と兄弟を愛している」

ハリー王子が家族、特にチャールズ王とウィリアム王子との関係について望んでいると主張したある情報源を発見してください。

2022-12-17.

ワイノナ・ジャッドは、パニックに陥った休暇の瞬間に、彼女がジャッド家の家長であることを認識しました

ワイノナ・ジャッドが、母親のナオミ・ジャッドが亡くなってから初めての感謝祭のお祝いを主催しているときに、彼女が今では家長であることをどのように認識したかを学びましょう.

2022-12-09.

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セントヘレナ島のジェイコブズラダーは 699 段の真っ直ぐ上る階段で、頂上に到達すると証明書が発行されるほどの難易度です。

2022-09-08.

米国が選挙に影響を与えるロシアのハックに関するインテリジェンスレポートを発表

写真：ゲッティイメージズ。「最近の米国の選挙に関するロシアの活動と意図の評価」に関するFBI、CIA、およびNSAからの機密解除された文書は、「ロシアのウラジーミル・プーチン大統領が米国大統領選挙に影響を与えるキャンペーンを命じた」と主張している。

2023-03-23 20:47.

La。Manは45年間で収集された500,000ペニーで現金化

ペニーは、2006年7月6日、イリノイ州グレンビューのグレンビューコイン＆コレクティブルズに展示されています。合計5,000ドル以上で、News-Starは報告します。

2023-03-23 20:47.

SaartjieBaartmanと黒人女性の身体の所有権について

19世紀のフランスの版画サラ・バートマンのラベル・ホッテントットウィキメディア・コモンズ黒人女性の体の所有権の認識は、最も醜い歴史の断片に深く織り込まれている問題です。この有毒な考えは、地球の一部に隔離されていません。

2023-03-23 20:46.

マライア・キャリーが大晦日のパフォーマンスでソーシャルメディアのメルトダウンに対応：「ShitHappens」

写真：APマライアキャリーは、土曜日の夜にタイムズスクエアでディッククラークスの新年のロッキンイブウィズライアンシークレスト（このショーのタイトルはサウンドチェックを取得できますか？）のパフォーマンス中に、かなり深刻なオーディオの誤動作に苦しんでいました。最悪の問題は、キャリーの「エモーション」のパフォーマンス中に発生しました。トラックがキャリーのボーカルを断続的にしか再生せず、リップシンクをオフにしました。

2023-03-23 20:46.