我在SQL Server 2005中遇到PHP和存储过程的问题。 我之前没有真正触及存储过程,也没有用过php。我无法从我知道肯定存在的表中检索值。我有一个简单的登录表,我希望存储过程做的是将用户名作为输入,然后输出该用户的密码salt。我希望存储过程使用参数化值来避免SQL注入。目前发生的情况是运行php页面时,没有返回任何内容,SQL Profiler显示以下错误:
User Error Message: Incorrect Syntax near '@Username'.
虽然这个错误信息应该告诉我一些错误,但我不能为我的生活看到错误的语法在哪里。
Php的副本:
$user = "usercm";
$password ="cmuserpassword";
try{$conn = new PDO("odbc:DRIVER={SQL Server Native Client 10.0};SERVER=TestingServer;DATABASE=TestingDatebase;",$user,$password);}
catch(PDOException $e){echo "oh no";}
$username = "sdct";
$prepusp = $conn->prepare("EXEC uspReturnSalt(?,?)");
$prepusp->bindParam(1, $username, PDO::PARAM_STR);
$prepusp->bindParam(2, $usersalt, PDO::PARAM_STR, 450);
$prepusp->execute();
存储过程的副本:
ALTER PROCEDURE [dbo].[uspReturnSalt]
@Username NVARCHAR(100),
@Usersalt NVARCHAR(450) OUTPUT
AS
BEGIN
DECLARE @sqlcmd NVARCHAR(MAX);
DECLARE @params NVARCHAR(MAX);
SET @sqlcmd = N'SELECT @Usersaltone = salt FROM CMUsers WHERE username = @Usernameone';
SET @params = N'@Usernameone NVARCHAR(100), @Usersaltone NVARCHAR(450) OUTPUT';
EXECUTE sp_executesql @sqlcmd, @params, @Usernameone = @Username, @Usersaltone = @Usersalt OUTPUT;
END
为了澄清,它所使用的服务器运行Windows 2003,因此我无法使用sqlsrv驱动程序,因为它们需要不兼容的SQL Server Native Client 2012。升级操作系统是不可能的(服务器不是我的)所以我不能使用任何需要SQL Server Native Client 2012的PHP驱动程序。
如果有人能提供帮助,我将永远感激。
EDIT1:
以下是该错误之前和之后的sql profiler消息:
RPC:Completed | exec [sys].sp_sproc_columns_90 N'uspReturnSalt' ,@ODBCVer=3
RPC:Starting | declare @p1 int
set @p1 =NULL
exec sp_prepare @p1 output,N'@Username nvarchar(100),@P2 text OUTPUT' ,N'EXEC uspReturnSalt(@Username,@P2 OUTPUT)' ,1
select @p1
Exception | Error: 102, Severity: 15, State: 1
User Error Message | Incorrect syntax near '@Username'.
SP:CacheMiss | (@Username nvarchar(100),@P2 text OUTPUT)EXEC uspReturnSalt(@Username,@P2 OUTPUT)
Exception | Error: 8180, Severity: 16, State: 1
User Error Message | Statement(s) could not be prepared
RPC:Completed | declare @p1 int
set @p1=NULL
exec sp_prepare @p1 output, N'@Username nvarchar(100),@P2 text OUTPUT' ,N'EXEC uspReturnSalt(@Username,@P2 OUTPUT)',1
select @p1
答案 0 :(得分:1)
$ prepusp = $ conn-> prepare(“EXEC uspReturnSalt(?,?)”); 需要改为: $ prepusp = $ conn-> prepare(“{CALL uspReturnSalt(?,?)}”);
他们实际上都应该工作。甚至围绕EXEC语句的{}也不起作用。只有CALL才能运作。
答案 1 :(得分:-1)
如何更改这些行
$prepusp = $conn->prepare("EXEC uspReturnSalt(?,?)");
$prepusp->bindParam(1, $username, PDO::PARAM_STR);
$prepusp->bindParam(2, $usersalt, PDO::PARAM_STR, 450);
$prepusp->execute();
到
$prepusp = $conn->prepare("EXEC uspReturnSalt(:username,:usersalt)");
$prepusp->bindParam(":username", $username, PDO::PARAM_STR);
$prepusp->bindParam(":usersalt", $usersalt, PDO::PARAM_STR, 450);
$prepusp->execute();
然后尝试
答案 2 :(得分:-1)
远射但值得一试,尝试改变
ALTER PROCEDURE [dbo].[uspReturnSalt]
@Username NVARCHAR(100),
@Usersalt NVARCHAR(450) OUTPUT
AS
到
ALTER PROCEDURE [dbo].[uspReturnSalt]
(
@Username NVARCHAR(100),
@Usersalt NVARCHAR(450) OUTPUT
)
AS