Как применить метод bindValue в предложении LIMIT?

Вот снимок моего кода:

$fetchPictures = $PDO->prepare("SELECT * 
    FROM pictures 
    WHERE album = :albumId 
    ORDER BY id ASC 
    LIMIT :skip, :max");

$fetchPictures->bindValue(':albumId', $_GET['albumid'], PDO::PARAM_INT);

if(isset($_GET['skip'])) {
    $fetchPictures->bindValue(':skip', trim($_GET['skip']), PDO::PARAM_INT);    
} else {
    $fetchPictures->bindValue(':skip', 0, PDO::PARAM_INT);  
}

$fetchPictures->bindValue(':max', $max, PDO::PARAM_INT);
$fetchPictures->execute() or die(print_r($fetchPictures->errorInfo()));
$pictures = $fetchPictures->fetchAll(PDO::FETCH_ASSOC);

Я получаю

У вас есть ошибка в синтаксисе SQL; проверьте руководство, соответствующее вашей версии сервера MySQL для правильный синтаксис для использования рядом с '' 15 ', 15' at строка 1

Кажется, что PDO добавляет одинарные кавычки к моим переменным в части LIMIT кода SQL. Я искал его, я нашел эту ошибку, которая, как мне кажется, связана: http://bugs.php.net/bug.php?id=44639

Это то, на что я смотрю? Эта ошибка была открыта с апреля 2008 года! Что мы должны делать в это время?

Мне нужно создать некоторую разбивку на страницы и нужно убедиться, что данные чистые, sql-инъекционные, перед отправкой оператора sql.

Ответ 1

Я помню эту проблему раньше. Передайте значение целому числу, прежде чем передавать его функции привязки. Я думаю, что это решает.

$fetchPictures->bindValue(':skip', (int) trim($_GET['skip']), PDO::PARAM_INT);

Ответ 2

Простейшим решением было бы отключить режим эмуляции. Вы можете сделать это либо как вариант подключения, либо просто добавив следующую строку

$PDO->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );

Это не только решит вашу проблему с bind param, но и позволит вам отправлять значения в execute(), что сделает ваш код гораздо более быстрым

$skip = $_GET['skip'] ?: 0;
$sql  = "SELECT * FROM pictures WHERE album = ? ORDER BY id LIMIT ?, ?";
$PDO->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );
$stmt  = $PDO->prepare($sql);
$stmt->execute([$_GET['albumid'], $skip, $max]);
$pictures = $stmt->fetchAll(PDO::FETCH_ASSOC);

Ответ 3

Посмотрев отчет об ошибке, может работать следующее:

$fetchPictures->bindValue(':albumId', (int)$_GET['albumid'], PDO::PARAM_INT);

$fetchPictures->bindValue(':skip', (int)trim($_GET['skip']), PDO::PARAM_INT);

но уверены ли вы, что ваши входящие данные верны? Потому что в сообщении об ошибке, кажется, есть только одна цитата после номера (в отличие от всего числа, заключенного в кавычки). Это также может быть ошибкой с вашими входящими данными. Вы можете сделать print_r($_GET);, чтобы узнать?

Ответ 4

Это так же, как резюме.
Существует четыре варианта параметризации значений LIMIT/OFFSET:

Отключите PDO::ATTR_EMULATE_PREPARES, как указано выше.

Что не позволяет значениям, переданным в ->execute([...]), всегда отображаться как строки.
Переключитесь на ручное заполнение параметра ->bindValue(..., ..., PDO::PARAM_INT).

Что, однако, менее удобно, чем → выполнить список [].
Просто сделайте исключение и просто интерполируйте простые целые числа при подготовке запроса SQL.
```
 $limit = intval($limit);
 $s = $pdo->prepare("SELECT * FROM tbl LIMIT {$limit}");
```
Кастинг важен. Чаще всего вы видите, что ->prepare(sprintf("SELECT ... LIMIT %d", $num)) используется для таких целей.
Если вы не используете MySQL, но, например, SQLite или Postgres; Вы также можете привести связанные параметры непосредственно в SQL.
```
 SELECT * FROM tbl LIMIT (1 * :limit)
```
Опять же, MySQL/MariaDB не поддерживают выражения в предложении LIMIT. Еще нет.

Ответ 5

для LIMIT :init, :end

Вам нужно связать этот путь. если у вас есть что-то вроде $req->execute(Array());, он не будет работать, поскольку он будет отличать PDO::PARAM_STR ко всем vars в массиве, а для LIMIT вам абсолютно необходим Integer. bindValue или BindParam, как вы хотите.

$fetchPictures->bindValue(':albumId', (int)$_GET['albumid'], PDO::PARAM_INT);

Ответ 6

Поскольку никто не объяснил, почему это происходит, я добавляю ответ. Причина этого в том, что вы используете trim(). Если вы посмотрите руководство PHP для trim, возвращаемый тип string. Затем вы пытаетесь передать это как PDO::PARAM_INT. Несколько способов обойти это:

Используйте filter_var($integer, FILTER_VALIDATE_NUMBER_INT), чтобы убедиться, что вы передаете целое число.
Как говорили другие, используя intval()
Литье с (int)
Проверка, является ли это целым числом с is_int()

Есть еще много способов, но это в основном основная причина.

Ответ 7

bindValue смещение и ограничение с помощью PDO:: PARAM_INT, и он будет работать

Ответ 8

//ПЕРЕД (настоящая ошибка) $ query = ".... LIMIT: p1, 30;"; ... $ stmt- > bindParam (': p1', $limiteInferior);

//ПОСЛЕ (исправлена ошибка) $ query = ".... LIMIT: p1, 30;"; ... $ limiteInferior = (int) $limiteInferior; $ stmt- > bindParam (': p1', $limiteInferior, PDO:: PARAM_INT);

Ответ 9

PDO::ATTR_EMULATE_PREPARES дал мне

Драйвер не поддерживает эту функцию: этот драйвер не поддерживает настройку атрибутов.

Моим обходным решением было установить переменную $limit в виде строки, а затем объединить ее в инструкции подготовки, как в следующем примере:

$limit = ' LIMIT ' . $from . ', ' . $max_results;
$stmt = $pdo->prepare( 'SELECT * FROM users WHERE company_id = :cid ORDER BY name ASC' . $limit . ';' );
try {
    $stmt->execute( array( ':cid' => $company_id ) );
    ...
}
catch ( Exception $e ) {
    ...
}

Ответ 10

Я сделал следующее на моем, где $info - это мой массив, содержащий мои связанные параметры:

    preg_match( '/LIMIT :(?P<limit>[0-9a-zA-Z]*)/', $sql, $matches );
    if (count($matches)) {
        //print_r($matches);
        $sql = str_replace( $matches[0], 'LIMIT ' . intval( $info[':' . $matches['limit']] ), $sql );
    }       
    // LIMIT #, :limit#
    preg_match( '/LIMIT (?P<limit1>[0-9]*),\s?:(?P<limit2>[0-9a-zA-Z]*)/', $sql, $matches );
    if (count($matches)) {
        //print_r($matches);
        $sql = str_replace( $matches[0], 'LIMIT ' . $matches['limit1'] . ',' . intval( $info[':' . $matches['limit2']] ), $sql );
    }

Это частично основано на коде Sebas.