2. 程式人生 > >記(Laravel)PDO 使用prepared statement 預處理LIMIT等欄位遇到的坑。

記(Laravel)PDO 使用prepared statement 預處理LIMIT等欄位遇到的坑。

阿新 發佈:2019-02-08

以下說明基於PHP7.1版本,Laravel 5.2版本。

直接貼程式碼:

        $sql = " SELECT id
        from my_table
        LIMIT ?,?
        ";
        $tests = DB::select($sql, [$offset, $limit]);

Laravel 5.2版本,預設 ATTR_EMULATE_PREPARES設定為true.
在檔案 Illuminate/Database/Connectors/Connector.php 24行.

class Connector
{
    use DetectsLostConnections;

    /**
     * The default PDO connection options.
     *
     * @var
 
 array
     */
    protected $options = [
        PDO::ATTR_CASE => PDO::CASE_NATURAL,
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_ORACLE_NULLS => PDO::NULL_NATURAL,
        PDO::ATTR_STRINGIFY_FETCHES => false,
        PDO::ATTR_EMULATE_PREPARES => true,
    ];

由於一些驅動不支援原生的預處理語句,PDO可以完全模擬預處理。
同時,PDO的模擬預處理是預設開啟的,並且,laravel對PDO的配置也是預設開啟的.

即便MYSQL驅動本身支援預處理,在預設開啟的狀態下,PDO是不會用到MYSQL本身提供的預處理功能。

坑在這裡:

PDO會把SQL語句進行模擬預處理之後會發送給MYSQL一個原始的SQL語句。

這種方式很詭異的是如果預處理的SQL語句中需要處理的欄位不是表中的欄位時,PDO會對繫結的引數

無腦新增單引號

無腦新增單引號

無腦新增單引號

因而導致了異常或查詢不到結果。
即:

limit '0','1'

解決這種問題的方法是設定PDO不去模擬預處理,而是交給MYSQL本身去做。方法是設定PDO的引數 ATTR_EMULATE_PREPARES 為 false
Laravel 中是在 config/database.php

        'mysql' => [
            'driver'    => 'mysql',
            'host'      => env('DB_HOST', 'localhost'),
            'database'  => env('DB_DATABASE', 'forge'),
            'username'  => env('DB_USERNAME', 'forge'),
            'password'  => env('DB_PASSWORD', ''),
            'charset'   => 'utf8',
            'collation' => 'utf8_unicode_ci',
            'prefix'    => '',
            'strict'    => false,
            'engine'    => null,
            'options'   =>[
                PDO::ATTR_EMULATE_PREPARES => false,
            ],

相關推薦

(Laravel)PDO 使用prepared statement 處理LIMIT遇到的

以下說明基於PHP7.1版本,Laravel 5.2版本。 直接貼程式碼: $sql = " SELECT id from my_table LIMIT ?,? "; $te

SpringBoot:SpringData JPA:進階查詢—JPQL/原生SQL查詢、分頁處理、部分對映查詢

上一篇介紹了入門基礎篇SpringDataJPA訪問資料庫。本篇介紹SpringDataJPA進一步的定製化查詢,使用JPQL或者SQL進行查詢、部分欄位對映、分頁等。本文儘量以簡單的建模與程式碼進行展示操作,文章比較長,包含查詢的方方面面。如果能耐心看完這篇文章,你應該能使用SpringDataJ

laravel按使用者型別來顯示或隱藏

在api開發中,有時候需要對自己以外的其他普通使用者隱藏欄位,比如隱藏手機號。而對於admin使用者,則又不需要隱藏手機號。 所以,需要設計一種能夠簡單的根據不同使用者來顯示或隱藏欄位的方式。 方法基於laravel實現 use Illuminate\Database\Eloquent\Mod

jdbc 如何處理Blob型別的資料

jdbc處理大物件Blob  在貼程式碼之前先講一下什麼是LOB大物件資料  LOB 大物件 是用來儲存大量的二進位制和文字資料的一種資料型別(一個LOB欄位可儲存多達 4GB的資料)   LOB分類兩種型別: (1)內部, (2)外部

laravel中的資料遷移表結構,型別,定義整理

laravel中的資料遷移表結構,欄位型別,定義整理 /* 表引擎 */ $table->engine = 'InnoDB'; /* 類型別 */ // - 數字 $table->bigInteger('id'); $t

【stream】處理含null的排序

msgInfoList=msgInfoList.stream().sorted(Comparator.comparing(l->l.getCreateDate(), Comparator.nullsFirst(java.util.Date::compareTo).reversed())).

使用文字處理php的代替資料庫進行增刪改查

第一次就是比較慢 寫個模版 以後有小型的東西 可以考慮不用資料庫的 那麼就用字串操作 search.php <?php /** * Created by PhpStorm. * User: liuan * Date: 2018/11/29 * Time: 23:46 */

PHP:PDO prepare處理

模擬 sql語句 大量 ont 分析 content 底層 try 通過 許多成熟的數據庫都支持預處理語句(Prepared Statements)的概念。它們是什麽東西?你可以把它們想成是一種編譯過的要執行的SQL語句模板,可以使用不同的變量參數定制它。預處理語句具

MySQL的SQL處理(Prepared)

Prepared SQL Statement:SQL的執行、預編譯處理語法、注意點 一、SQL 語句的執行處理1、即時 SQL  一條 SQL 在 DB 接收到最終執行完畢返回,大致的過程如下:  1. 詞法和語義解析;  2. 優化 SQL 語句,制定執行計劃;  3. 執行並返回結果;  如上

一次800多萬XML文字檔案處理經歷

一.背景 由於某些需求,現需對系統在最近幾個月生成的xml檔案進行預處理,提取<text>標籤內的資料進行分析。這些需要預處理的資料大概有280GB左右880多萬,存放在gysl目錄下,gysl的下一層按天命名,分為若干個目錄,接下來一層目錄下又有多個目錄,我們所需的xml目錄就在這一層。我們現

一次800多萬XML文本文件處理經歷

超過 random while 表達式 range utf-8 test 現在 其他 一.背景 由於某些需求,現需對系統在最近幾個月生成的xml文件進行預處理,提取<text>標簽內的數據進行分析。這些需要預處理的數據大概有280GB左右880多萬,存放在gys

PDO處理

1.引數以?替代 <?php header('content-type:text/html;charset=utf-8'); $dsn='mysql:host=localhost;dbname=test'; $pdo=new PDO($dsn,'root',''); $pdo-&

PDO的結果集物件方法、處理語句、資料庫連線屬性

PDO中的結果集物件方法 方法名 註釋 execute() 執行一條預處理語句 rowCount() 返回上一個SQL語句影響的行數

PDO進行sql語句處理和操作結果集詳細介紹(二)

<span style="font-size:18px;">一:預處理語句及其繫結引數執行insert try { $pdo=new PDO("mysql:host=localhost;dbname=xsphpdb", "root", "123

sql語句的處理mysqli pdo繫結引數

預處理語句及繫結引數 預處理語句用於執行多個相同的 SQL 語句,並且執行效率更高。 預處理語句的工作原理如下: 預處理:建立 SQL 語句模板併發送到資料庫。預留的值使用引數 "?" 標記 。例如:INSERT INTO MyGuests (firstname,

mysql 中prepare statement處理

今天前同事問了一個sql語法優化問題,後來查資料的過程中,發現了一個prepare statement 這玩意。使用並測試了下效能,感覺未來能用上。記錄下。 當時我在解決一個大表,分頁問題。目前的分頁sql一般有這幾種(原文): --方法1: 直接使用資料庫提供的SQ

面向物件,PDO基礎知識,PDO處理,SQL事務處理

PDO:資料庫抽象層 PDO特點:跨資料庫,支援預處理,支援事務 PDO的基本使用 1,例項化物件 例項化物件( new PDO() ) $pdo=new PDO(引數1,引數2,引數3);

PHP基礎知識之————PDO處理語句

轉載處:http://www.cnblogs.com/xiaohuochai/p/6133353.html 定義   在生成網頁時,許多PHP指令碼通常都會執行除引數之外,其他部分完全相同的查詢語句,針對這種重複執行一個查詢,每次迭代使用不同的引數情況,PDO提供了一種名為預處理語句(prepared st

PDO處理插入資料注意事項

如果當你使用pdo預處理插入一條資料時候,報錯 <?php $dsn = 'mysql:dbname=test;host=127.0.0.1'; $user = 'root'; $passw

PHP PDO處理方式(PDOStatement物件)實現 增刪改查防sql注入

demo.php(?號式的預處理sql語句,增刪改): <?php //?號式的預處理語句 一共有3種繫結方式 //1.連線資料庫 try{ $pdo = new PDO("mysql:host=localhost;dbname=資料庫名","root