SQLSTATE [42000]:语法错误或访问冲突:1064

时间:2013-09-24 18:10:21

标签: php mysql pdo

我正在写一些软件。 Reader的摘要版本:用户选择一个包,输入他们的名字,电子邮件和所需的子域名。然后检查子域以查看是否有人已经注册了它,以及它是否只是字母数字。我使用OO mysqli完成了所有这些工作,但我决定转向PDO。

错误的准确措辞:

  

SQLSTATE [42000]:语法错误或访问冲突:1064 SQL语法中有错误;检查与MySQL服务器版本对应的手册,以便在第1行的' - >子域'附近使用正确的语法

当我实例化我的Admin对象时,一切都很顺利。但是,当我调用createAccount()函数时,所有的地狱都会崩溃。堆栈跟踪遍布各处,我几乎无法确定何时开始对此进行故障排除。我在这里检查了其他答案,它们看起来都过于本地化,所以这里是生成它的代码,然后是包含错误的所有方法。我们走了......

首先,产生错误的代码:

include 'classes/Admin.class.php';
$admin = new Admin('test@test.com');

try {
    $admin->createAccount('John', 'Smith', 'test', 'pro');
}
catch(Exception $e) {
    echo '<pre />';
    echo $e->getMessage();
    die(print_r($e->getTrace()));
}

Admin Class构造函数

public function __construct($email) {
        $this->email = $email;

        include 'Database.class.php';
        include 'PasswordHash.php';

        define("DB_HOST", "localhost");
        define("DB_USER", "root");
        define("DB_PASS", "");
        define("DB_NAME", "ems");

        $this->data = new Database;
        $this->hasher = new PasswordHash(8, false);
    }

在Admin类中,检查子域

private function checkSubdomain() {
    $this->data->query('SELECT * FROM clients WHERE subdomain = :subdomain');
    $this->data->bind(':subdomain', $this->subdomain);
    $this->data->execute();

    return ($this->data->rowCount() == 0) && (ctype_alnum($this->subdomain));
}

PDO类执行,绑定和查询

public function execute() {
    return $this->stmt->execute();
}

public function query($query) {
    $this->stmt = $this->dbh->prepare($query);
}

public function bind($param, $value, $type = null) {
    if(is_null($type)) {
        switch(true) {
            case is_int($value):
                $type = PDO::PARAM_INT;
                break;
            case is_bool($value):
                $type = PDO::PARAM_BOOL;
                break;
            case is_null($value):
                $type = PDO::PARAM_NULL;
            default:
                $type = PDO::PARAM_STR;
        }
    }
    $this->stmt->bindValue($param, $value, $type);
}

这个错误在我的代码中很猖獗,所以我认为它只在PDO类中,但是我的Session类运行得很好。此外,我的查询只使用mysqli完美地工作,所以我对我的语法很有信心。非常感谢任何帮助。

根据要求,创建帐户功能:

public function createAccount($firstname, $lastname, $subdomain, $package)
{
    $this->firstname = $firstname;
    $this->lastname  = $lastname;
    $this->subdomain = $subdomain;
    $this->package   = $package;
    //does the subdomain exist, or is it invalid?
    if(!$this->checkSubdomain())
        throw new Exception('This domain is not available. It can only contain letters and numbers and must not already be taken.');

    //now comes the table creation, provided everything is in order
    $this->setup();
}

这是createAccount调用的setup函数(没有所有表结构):

private function setup() {
    $isError = false;
    $queries = array(
        //all of these are CREATE statements, removed for security reasons
        );

    //need a database that matches with the client subdomain
    $this->data->query('CREATE TABLE $this->subdomain');
    $this->data->bind(':subdomain', $this->subdomain);

    //PDO secured...execute
    $this->data->execute();

    $this->data->beginTransaction();
    foreach($queries as $query) {
        $this->data->query($query);
        if(!$this->data->execute()) { //we hit some sort of error, time to GTFO of here
            $isError = true;
            $this->data->cancelTransaction();
            //die('Error with: ' . $query);
            break;
        }
    }

    if(!$isError) {
        $this->data->endTransaction();
        mkdir('a/' . $this->subdomain, 0755);
        $this->generatePass();
        //this is where I insert the user into the admin table using PDO, removed for security
        $this->data->execute();
    }

    $this->data->close();

}

2 个答案:

答案 0 :(得分:2)

这是造成错误的原因:

$this->data->query('CREATE TABLE $this->subdomain');
$this->data->bind(':subdomain', $this->subdomain);

正如Michael Berkowski和andrewsi在评论中指出的那样,你不能将值绑定到:subdomain占位符,因为它在查询中没有被注明,即使它是 PDO占位符也只能用于值而不是数据库,表或列名称

如果你想动态创建那种SQL查询,你需要用反引号引号括起数据库,表或列名(如果你的列和名称包含可能破坏了SQL保留关键字的SQL保留关键字已放置的查询)和转义值,但如果已使用MySQLi,则无法使用PDO

由于PDO没有real_escape_string()方法可以做到这一点,并且实际上不需要转义这样的值(除非你真的有一个名为Ye'name的列完全是愚蠢的恕我直言,使用preg_match()preg_replace()这么简单的过滤器就足够了:

if (preg_match('/^[\w_]+$/i', $this->subdomain)) {
    // note the ` (backtick), and using " (double quotes):
    $this->data->query("CREATE TABLE `{$this->subdomain}`"); 
} else {
    // throw exception or error, do not continue with creating table
}

在PHP中使用'(单引号 - 撇号)对"(双引号)字符串的几个例子:

$a = 1;
$b = 2;
echo '$a + $b'; // outputs: $a + $b
echo "$a + $b"; // outputs: 1 + 2
$c = array(5, 10);
echo '\$c[0] = {$c[0]}'; // outputs: \$c[0] = {$c[0]}
echo "\$c[0] = {$c[0]}"; // outputs: $c[0] = 5

{}内部双引号字符串用于数组和对象属性访问,可用于常规变量。
双引号中的$转义由\$完成,否则它将采用变量调用。

答案 1 :(得分:-1)

我遇到了这个错误,但原因略有不同。你必须在SELECT语句中留空格 'SELECT'。$ userfield。' FROM'。$ usertable。 'WHERE 1'效果很好,但'SELECT'。$ userfield.'FROM'。$ usertable.'WHERE 1'惨遭失败。 

    $stmt = $dbh->query(
    'SELECT ' . $userfield . ' FROM ' . $usertable . ' WHERE 1 '
    );
    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);
如果任何人使用42000失败代码查找命中此条目,则提供

信息。

相关问题
最新问题