Как применить метод bindValue в предложении LIMIT?

Question

Как применить метод bindValue в предложении LIMIT?

Вот снимок моего кода:

$fetchPictures = $PDO->prepare("SELECT * 
    FROM pictures 
    WHERE album = :albumId 
    ORDER BY id ASC 
    LIMIT :skip, :max");

$fetchPictures->bindValue(':albumId', $_GET['albumid'], PDO::PARAM_INT);

if(isset($_GET['skip'])) {
    $fetchPictures->bindValue(':skip', trim($_GET['skip']), PDO::PARAM_INT);    
} else {
    $fetchPictures->bindValue(':skip', 0, PDO::PARAM_INT);  
}

$fetchPictures->bindValue(':max', $max, PDO::PARAM_INT);
$fetchPictures->execute() or die(print_r($fetchPictures->errorInfo()));
$pictures = $fetchPictures->fetchAll(PDO::FETCH_ASSOC);

я получил

У вас есть ошибка в вашем синтаксисе SQL; проверьте руководство, соответствующее вашей версии сервера MySQL, на предмет правильного синтаксиса для использования рядом с ''15', 15' в строке 1

Кажется, что PDO добавляет одинарные кавычки к моим переменным в части LIMIT кода SQL. Я искал это, я нашел эту ошибку, которая, я думаю, связана: http://bugs.php.net/bug.php?id=44639

Это то, на что я смотрю? Эта ошибка была открыта с апреля 2008 года! Что мы должны делать в это время?

Мне нужно построить несколько страниц, и перед отправкой оператора sql нужно убедиться, что данные чистые и безопасны для инъекций.

127

php sql mysql pdo bindvalue

Источник

user25645 16 фев '10 в 00:11

12 ответов

Решение

Самое простое решение - отключить режим эмуляции. Вы можете сделать это либо как вариант подключения, либо просто добавив следующую строку

$PDO->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );

Это не только решит вашу проблему с bind param, но и позволит вам отправлять значения в execute(), что сделает ваш код значительно стреляющим

$skip = (isset($_GET['skip'])):$_GET['skip']:0;
$sql  = "SELECT * FROM pictures WHERE album = ? ORDER BY id ASC LIMIT ?, ?";
$PDO->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );
$stm  = $PDO->prepare($sql);
$stm->execute(array($_GET['albumid'],$skip,$max));
$pictures = $stm->fetchAll(PDO::FETCH_ASSOC);

53

Источник

user285587 05 авг '13 в 16:52

Глядя на отчет об ошибке, может работать следующее:

$fetchPictures->bindValue(':albumId', (int)$_GET['albumid'], PDO::PARAM_INT);

$fetchPictures->bindValue(':skip', (int)trim($_GET['skip']), PDO::PARAM_INT);

но вы уверены, что ваши входные данные верны? Потому что в сообщении об ошибке, кажется, только одна кавычка после числа (в отличие от целого числа, заключенного в кавычки). Это также может быть ошибка с вашими входящими данными. Вы можете сделать print_r($_GET); выяснить?

18

Источник

user187606 16 фев '10 в 00:32

Это так же, как резюме.
Существует четыре варианта параметризации значений LIMIT/OFFSET:

запрещать PDO::ATTR_EMULATE_PREPARES как упомянуто выше.
Что мешает значениям, переданным за ->execute([...]) чтобы всегда показываться как строки.
Переключиться на ручной ->bindValue(..., ..., PDO::PARAM_INT) параметр населения.
Что, однако, менее удобно, чем -> выполнить список [].
Просто сделайте исключение здесь и просто интерполируйте простые целые числа при подготовке запроса SQL.
```
 $limit = intval($limit);
 $s = $pdo->prepare("SELECT * FROM tbl LIMIT {$limit}");
```
Кастинг важен. Чаще вы видите ->prepare(sprintf("SELECT ... LIMIT %d", $num)) используется для таких целей.
Если вы не используете MySQL, но, например, SQLite или Postgres; Вы также можете привести связанные параметры непосредственно в SQL.
```
 SELECT * FROM tbl LIMIT (1 * :limit)
```
Опять же, MySQL/MariaDB не поддерживают выражения в предложении LIMIT. Еще нет.

12

Источник

user345031 14 янв '15 в 19:22

За LIMIT :init, :end

Вы должны связать таким образом. если бы у вас было что-то вроде $req->execute(Array()); это не сработает PDO::PARAM_STR для всех переменных в массиве и для LIMIT вам абсолютно необходимо целое число. bindValue или BindParam, как вы хотите.

$fetchPictures->bindValue(':albumId', (int)$_GET['albumid'], PDO::PARAM_INT);

8

Источник

user926899 20 окт '11 в 19:17

Поскольку никто не объяснил, почему это происходит, я добавляю ответ. Это происходит потому, что вы используете trim(), Если вы посмотрите на руководство по PHP для trimтип возвращаемого значения string, Затем вы пытаетесь передать это как PDO::PARAM_INT, Несколько способов обойти это:

использование filter_var($integer, FILTER_VALIDATE_NUMBER_INT) чтобы убедиться, что вы передаете целое число.
Как говорили другие, используя intval()
Кастинг с (int)
Проверка, является ли оно целым числом с is_int()

Есть еще много способов, но это в основном причина.

2

Источник

user2507043 27 янв '16 в 23:00

Смещение и ограничение bindValue с использованием PDO::PARAM_INT, и это будет работать

1

Источник

user4557058 21 май '15 в 20:53

PDO::ATTR_EMULATE_PREPARES дал мне

Драйвер не поддерживает эту функцию: этот драйвер не поддерживает ошибку установки атрибутов.

Мой обходной путь должен был установить $limit переменная в виде строки, затем объедините ее в операторе prepare, как в следующем примере:

$limit = ' LIMIT ' . $from . ', ' . $max_results;
$stmt = $pdo->prepare( 'SELECT * FROM users WHERE company_id = :cid ORDER BY name ASC' . $limit . ';' );
try {
    $stmt->execute( array( ':cid' => $company_id ) );
    ...
}
catch ( Exception $e ) {
    ...
}

-1

Источник

user1501254 19 июл '18 в 12:16

Многое происходит между различными версиями PHP и странностями PDO. Я попробовал 3 или 4 метода здесь, но не смог заставить работать LIMIT.
Я предлагаю использовать форматирование / объединение строк с фильтром intval():

$sql = 'SELECT * FROM `table` LIMIT ' . intval($limitstart) . ' , ' . intval($num).';';

Очень важно использовать intval() для предотвращения SQL-инъекций, особенно если вы получаете свой лимит от $_GET и т.п. Если вы сделаете это, это будет самый простой способ заставить LIMIT работать.

Существует много разговоров о "проблеме с LIMIT в PDO", но я считаю, что параметры PDO никогда не должны использоваться для LIMIT, поскольку они всегда будут целыми числами, и сработает быстрый фильтр. Тем не менее, это немного вводит в заблуждение, поскольку философия всегда заключалась в том, чтобы не выполнять фильтрацию SQL-инъекций самостоятельно, а скорее "Попросить PDO обработать это".

-1

Источник

user1067583 27 фев '20 в 02:59

Попробуйте следующее:

      $sql2 = "SELECT  * FROM tab ORDER BY id DESC limit 2

-1

Источник

bricas30 21 июл '22 в 06:03

// ПЕРЕД (присутствует ошибка) $ query = ".... LIMIT: p1, 30;";... $ stmt-> bindParam (': p1', $ limiteInferior);

// AFTER (ошибка исправлена) $query = " .... LIMIT:p1, 30;"; ... $limiteInferior = (int)$limiteInferior; $stmt->bindParam(':p1', $limiteInferior, PDO::PARAM_INT);

-1

Источник

user4881099 15 авг '17 в 06:51

Я сделал следующее, где $info - это мой массив, содержащий мои связанные параметры:

    preg_match( '/LIMIT :(?P<limit>[0-9a-zA-Z]*)/', $sql, $matches );
    if (count($matches)) {
        //print_r($matches);
        $sql = str_replace( $matches[0], 'LIMIT ' . intval( $info[':' . $matches['limit']] ), $sql );
    }       
    // LIMIT #, :limit#
    preg_match( '/LIMIT (?P<limit1>[0-9]*),\s?:(?P<limit2>[0-9a-zA-Z]*)/', $sql, $matches );
    if (count($matches)) {
        //print_r($matches);
        $sql = str_replace( $matches[0], 'LIMIT ' . $matches['limit1'] . ',' . intval( $info[':' . $matches['limit2']] ), $sql );
    }

Это частично основано на коде Себаса.

-3

Источник

user1106936 05 авг '13 в 16:42

Другие вопросы по тегам php sql mysql pdo bindvalue

user155862 16 фев '10 в 00:35 2010-02-16 00:35 · Accepted Answer · 2010-02-16 00:35

Я помню эту проблему раньше. Приведите значение к целому числу, прежде чем передавать его в функцию связывания. Я думаю, что это решает это.

$fetchPictures->bindValue(':skip', (int) trim($_GET['skip']), PDO::PARAM_INT);

175

Источник

user155862 16 фев '10 в 00:35