PDO准备语句功能

时间:2014-05-30 14:35:34

标签: php pdo

我正在使用PDO预处理语句,在处理我当前的项目时,我决定为我需要的每个动作创建几个函数。以下是fetch的示例

function db_fetchAll($sql, $param) {
    global $db;

    $stmt = $db->prepare($sql);

    if (empty($param)) {
        $stmt->execute();
    } else {
        $stmt->execute($param);
    }

    $count = $stmt->rowCount();

    if ($count == 0) {
        $result = "";
    } elseif ($count == 1) {
        $result[] = $stmt->fetch();
    } elseif ($count > 1) {
        $result = $stmt->fetchAll();
    }

    return $result;
}

示例

$database = db_fetchAll("SELECT * FROM database_table WHERE id=:id", array(':id' => $id));

它只会将查询行从3行压缩为1,但是每页所需的信息量值得缩小。

我将通过该项目返回最后一次通过,我只想对此安全性发表第二意见。如果有任何我应该添加的内容,等等。所有user_input都通过此函数传递

function user_input($input) {
    $input = trim($input);  
    $output = strip_tags($input);

    return $output;
}

并且所有输出都使用htmlspecialchars。

简而言之,问题是: 这样安全吗? 还有什么我可以做的,以防止任何其他形式的注射等?

我完全理解准备好的陈述如何运作,我只是彻底,这个网站的第1版是一场噩梦,大量的注射,获得管理员帐户的访问权等等。

1 个答案:

答案 0 :(得分:3)

+1这样的意图。这是一个非常令人尴尬的数字,但是只有千分之一的用户在这里询问有关PDO的问题,他们会想到像辅助函数这样的自然事物。

只是几个笔记。

  • 首先,您的代码存在一个重要缺陷,即尝试自动检测结果类型。我亲自尝试过,我可以向你保证,这只是灾难的根源。代码中的魔法越少,你头上的头发越多。因此,不要使用这种不可靠的魔法,只需使用不同的函数来返回不同的结果集。
  • 其次,您必须为参数设置默认值?能够在没有占位符的情况下运行查询。
  • 第三,一些代码是多余的。无需检查$ param变量。

最后,您的功能应该看起来像

function db_fetchAll($sql, $param = array()) {
    global $db;

    $stmt = $db->prepare($sql);
    $stmt->execute($param);
    return $stmt->fetchAll();
}

总是返回行数组,顾名思义

对于具有不同结果集的其他函数,似乎PDO,如果稍微调整,可以提供完全相同的便利性,而根本没有任何辅助函数。您可以查看PDO wrapper I made to ease the pain of transition from old mysql ext

您的代码将保持几乎相同

$data = DB::query("SELECT * FROM database_table")->fetchAll();

但是它会让你使用PDO不同结果集方法的所有装置:

$row = DB::prepare("SELECT * FROM table WHERE id=?")->execute([$id])->fetch();

甚至

$sql  = "SELECT name FROM table WHERE id=?";
$name = DB::prepare($sql)->execute([$id])->fetchColumn();

等等