Предупреждение безопасности: SQL-инъекция
Вместо составления строки запроса с включением переменных значений необходимо подготавливать запросы. Либо строки запроса должны быть экранированы функцией mysqli_real_escape_string() и правильно отформатированы.
Для не DML-запросов (не INSERT, UPDATE или DELETE), эта функция равносильна вызову функции mysqli_real_query() , а затем mysqli_use_result() или mysqli_store_result() .
- mysqlnd на платформе Linux возвращает код ошибки 1153. Сообщение об ошибке означает размер пакета превышает max_allowed_packet байт .
- mysqlnd на платформе Windows возвращает код ошибки 2006. Это сообщение об ошибке означает отказ сервера .
- libmysqlclient на всех платформах возвращает код ошибки 2006. Это сообщение об ошибке означает отказ сервера .
Список параметров
Только для процедурного стиля: объект mysqli , полученный с помощью mysqli_connect() или mysqli_init() .
Режим результата может быть одной из 3 констант, указывающих, как результат будет возвращён сервером MySQL.
MYSQLI_STORE_RESULT (по умолчанию) — возвращает объект mysqli_result с буферизованным набором результатов.
MYSQLI_USE_RESULT — возвращает объект mysqli_result с небуферизованным набором результатов. Пока есть отложенные записи, ожидающие выборки, линия соединения будет занята и все последующие вызовы будут возвращать ошибку Commands out of sync . Чтобы избежать ошибки, все записи должны быть получены с сервера или набор результатов должен быть отброшен путём вызова mysqli_free_result() .
MYSQLI_ASYNC (доступно с mysqlnd) — запрос выполняется асинхронно, набор результатов сразу не возвращается. Затем вызывают функцию mysqli_poll() для получения результатов по этим запросам. Можно использовать в сочетании с константой MYSQLI_STORE_RESULT или MYSQLI_USE_RESULT .
Возвращаемые значения
Возвращает false в случае возникновения ошибки. В случае успешного выполнения запросов, которые создают набор результатов, таких как SELECT, SHOW, DESCRIBE или EXPLAIN , функция mysqli_query() вернёт объект mysqli_result . Для остальных успешных запросов mysqli_query() вернёт true .
Ошибки
Если уведомления об ошибках mysqli включены ( MYSQLI_REPORT_ERROR ) и запрошенная операция не удалась, выдаётся предупреждение. Если, кроме того, установлен режим MYSQLI_REPORT_STRICT , вместо этого будет выброшено исключение mysqli_sql_exception .
Примеры
Пример #1 Пример использования mysqli::query()
mysqli_report ( MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT );
$mysqli = new mysqli ( «localhost» , «my_user» , «my_password» , «world» );
/* Создание таблицы, не возвращает набор результатов */
$mysqli -> query ( «CREATE TEMPORARY TABLE myCity LIKE City» );
printf ( «Таблица myCity создана.\n» );
/* Запросы SELECT, возвращают набор результатов */
$result = $mysqli -> query ( «SELECT Name FROM City LIMIT 10» );
printf ( «Запрос SELECT вернул %d строк.\n» , $result -> num_rows );
/* Если нужно извлечь большой объем данных, используем MYSQLI_USE_RESULT */
$result = $mysqli -> query ( «SELECT * FROM City» , MYSQLI_USE_RESULT );
/* Важно заметить, что мы не можем вызывать функции, которые взаимодействуют
с сервером, пока не закроем набор результатов. Все подобные вызовы
будут вызывать ошибку ‘out of sync’ */
$mysqli -> query ( «SET @a:=’this will not work'» );
mysqli_report ( MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT );
$link = mysqli_connect ( «localhost» , «my_user» , «my_password» , «world» );
/* Создание таблицы, не возвращает набор результатов */
mysqli_query ( $link , «CREATE TEMPORARY TABLE myCity LIKE City» );
printf ( «Таблица myCity создана.\n» );
/* Запросы SELECT, возвращают набор результатов */
$result = mysqli_query ( $link , «SELECT Name FROM City LIMIT 10» );
printf ( «Запрос SELECT вернул %d строк.\n» , mysqli_num_rows ( $result ));
/* Если нужно извлечь большой объем данных, используем MYSQLI_USE_RESULT */
$result = mysqli_query ( $link , «SELECT * FROM City» , MYSQLI_USE_RESULT );
/* Важно заметить, что мы не можем вызывать функции, которые взаимодействуют
с сервером, пока не закроем набор результатов. Все подобные вызовы
будут вызывать ошибку ‘out of sync’ */
mysqli_query ( $link , «SET @a:=’this will not work'» );
Результат выполнения данных примеров:
Таблица myCity создана. Запрос SELECT вернул 10 строк. Fatal error: Uncaught mysqli_sql_exception: Commands out of sync; you can't run this command now in.
Смотрите также
- mysqli_execute_query() — Подготавливает, связывает параметры и выполняет SQL-запрос
- mysqli_real_query() — Выполнение SQL запроса
- mysqli_multi_query() — Выполняет один или несколько запросов к базе данных
- mysqli_prepare() — Подготавливает SQL выражение к выполнению
- mysqli_free_result() — Освобождает память, занятую результатами запроса
User Contributed Notes 21 notes
15 years ago
This may or may not be obvious to people but perhaps it will help someone.
When running joins in SQL you may encounter a problem if you are trying to pull two columns with the same name. mysqli returns the last in the query when called by name. So to get what you need you can use an alias.
Below I am trying to join a user id with a user role. in the first table (tbl_usr), role is a number and in the second is a text name (tbl_memrole is a lookup table). If I call them both as role I get the text as it is the last «role» in the query. If I use an alias then I get both as desired as shown below.
$sql = «SELECT a.uid, a.role AS roleid, b.role,
FROM tbl_usr a
INNER JOIN tbl_memrole b
ON a.role = b.id
» ;
if ( $result = $mysqli -> query ( $sql )) <
while( $obj = $result -> fetch_object ()) <
$line .= $obj -> uid ;
$line .= $obj -> role ;
$line .= $obj -> roleid ;
>
>
$result -> close ();
unset( $obj );
unset( $sql );
unset( $query );
?>
In this situation I guess I could have just renamed the role column in the first table roleid and that would have taken care of it, but it was a learning experience.
12 years ago
The cryptic «Couldn’t fetch mysqli» error message can mean any number of things, including:
1. You’re trying to use a database object that you’ve already closed (as noted by ceo at l-i-e dot com). Reopen your database connection, or find the call to or close (); ?> and remove it.
2. Your MySQLi object has been serialized and unserialized for some reason. Define a wakeup function to re-create your database connection. http://php.net/__wakeup
3. Something besides you closed your mysqli connection (in particular, see http://bugs.php.net/bug.php?id=33772)
4. You mixed OOP and functional calls to the database object. (So, you have query () ?> in the same program as ).
12 years ago
When calling multiple stored procedures, you can run into the following error: «Commands out of sync; you can’t run this command now».
This can happen even when using the close() function on the result object between calls.
To fix the problem, remember to call the next_result() function on the mysqli object after each stored procedure call. See example below:
// New Connection
$db = new mysqli ( ‘localhost’ , ‘user’ , ‘pass’ , ‘database’ );
// Check for errors
if( mysqli_connect_errno ()) echo mysqli_connect_error ();
>
// 1st Query
$result = $db -> query ( «call getUsers()» );
if( $result ) // Cycle through results
while ( $row = $result -> fetch_object ()) $user_arr [] = $row ;
>
// Free result set
$result -> close ();
$db -> next_result ();
>
// 2nd Query
$result = $db -> query ( «call getGroups()» );
if( $result ) // Cycle through results
while ( $row = $result -> fetch_object ()) $group_arr [] = $row ;
>
// Free result set
$result -> close ();
$db -> next_result ();
>
else echo( $db -> error );
// Close connection
$db -> close ();
?>
1 year ago
«In PHP 8.1, the default error handling behavior of the MySQLi extension has changed from silencing errors to throw an Exception on errors. «
This is true even for the procedural use of mysqli, i.e. mysqli_query.
Hence, using if(!mysqli_query($c, $sql)) [. ] is pointless.
To disable Exception throwing : mysqli_report(MYSQLI_REPORT_OFF);
5 years ago
Here is an example of a clean query into a html table
13 years ago
I like to save the query itself in a log file, so that I don’t have to worry about whether the site is live.
For example, I might have a global function:
function UpdateLog ( $string , $logfile ) <
$fh = fopen ( $logfile , ‘a’ );
$fwrite ( $fh , strftime ( ‘%F %T %z’ ). » » . $string . «\n» ;
fclose ( $fh );
>
?>
Then in my mysql function error trapper, something like this:
$error_msg = «Database error in [page].php / » ;
$error_msg .= mysqli_error ( $link ). » / » ;
$error_msg .= $query ;
UpdateLog ( $error_msg , DB_ERROR_LOG_FILE );
?>
I also include the remote IP, user agent, etc., but I left it out of these code samples. And have it e-mail me when an error is caught, too.
15 years ago
Translation:
«Couldn’t fetch mysqli»
You closed your connection and are trying to use it again.
It has taken me DAYS to figure out what this obscure error message means.
17 years ago
Use mysqli_query to call a stored procedure that returns a result set.
Here is a short example:
$mysqli = new mysqli ( DBURI , DBUSER , DBPASS , DBNAME );
if ( mysqli_connect_errno ())
printf ( «Connection failed: %s\n» , mysqli_connect_error ());
exit();
>
$SQL = «CALL my_procedure( $something )» ;
if ( ( $result = $mysqli -> query ( $SQL ))=== false )
printf ( «Invalid query: %s\nWhole query: %s\n» , $mysqli -> error , $SQL );
exit();
>
while ( $myrow = $result -> fetch_array ( MYSQLI_ASSOC ))
$aValue []= $myrow [ «a» ];
$bValue []= $myrow [ «b» ];
>
$result -> close ();
$mysqli -> close ();
?>
I hope this saves someone some time.
17 years ago
Calling Stored Procedures
Beeners’ note/example will not work. Use mysqli_multi_query() to call a Stored Procedure. SP’s have a second result-set which contains the status: ‘OK’ or ‘ERR’. Using mysqli_query will not work, as there are multiple results.
$sQuery = «CALL SomeSP(‘params’)» ;
if(! mysqli_multi_query ( $sqlLink , $sQuery )) // your error handler
>
$sqlResult = mysqli_store_result ( $sqlLink );
if( mysqli_more_results ( $this -> sqlLink )) //Catch ‘OK’/’ERR’
while( mysqli_next_result ( $this -> sqlLink ));
?>
You will have to rewrite/expand this a bit for more usability of course, but it’s just an example.
9 years ago
For those using with replication enabled on their servers, add a mysqli_select_db() statement before any data modification queries. MySQL replication does not handle statements with db.table the same and will not replicate to the slaves if a scheme is not selected before.
19 years ago
Use difference collation/character for connect, result.
You can set the collation before your query.
E.g. want to set the collation to utf8_general_ci
you can send the query «SET NAMES ‘utf8′» first
$mysqli =new mysqli ( ‘localhost’ , ‘root’ , ‘password’ , ‘test’ );
$mysqli -> query ( «SET NAMES ‘utf8′» );
$q = $mysqli -> query ( «select * from test» );
while( $r = $q -> fetch_assoc ()) print_r ( $r );
>
?>
There are many variables about character settings.
By running sql command, SHOW VARIABLES LIKE ‘char%’;
There are some variables control the character usage.
Also SET NAMES can repalce with one or some settings like SET character_set_results=’utf8′;
16 years ago
When building apps, i like to see the whole statement when if fails.
$q = «SELECT somecolumn FROM sometable» ; //some instruction
$r = mysqli_query ( $DBlink , $q ) or die( mysqli_error ( $DBlink ). » Q keyword»>. $q );
?>
If theres an error (like my numerous typing mistakes) this shows the entire instruction.
Good for development (not so good on production servers — simply find and replace when finished: $r=mysqli_query($DBlink,$q); )
Hope it helps. Jon
15 years ago
mysqli::query() can only execute one SQL statement.
Use mysqli::multi_query() when you want to run multiple SQL statements within one query.
13 years ago
Building inserts can be annoying. This helper function inserts an array into a table, using the key names as column names:
private function store_array (& $data , $table , $mysqli )
$cols = implode ( ‘,’ , array_keys ( $data ));
foreach ( array_values ( $data ) as $value )
isset( $vals ) ? $vals .= ‘,’ : $vals = » ;
$vals .= ‘\» . $this -> mysql -> real_escape_string ( $value ). ‘\» ;
>
$mysqli -> real_query ( ‘INSERT INTO ‘ . $table . ‘ (‘ . $cols . ‘) VALUES (‘ . $vals . ‘)’ );
>
?>
Adapt it to your specific needs.
9 years ago
Hi, i created function that add a new table using array , i work with it on my projects .
/* this function was learned from PHP.net */
function array_keys_exist (& $key ,array & $array ) $keys = split ( «\|» , $key );
foreach( $keys as $key_s ) if( array_key_exists ( $key_s , $array )) return true ;
>
return false ;
>
/*and this is my function */
array_create_table (array & $array ) if( is_array ( $array )) $key = «table|rows|values» ;
$info = «» ;
if( array_keys_exist ( $key , $array )) if( is_array ( $array [ «rows» ]) and is_array ( $array [ «values» ]) )
if( count ( $array [ «rows» ]) == count ( $array [ «values» ])) <
for( $i = 0 ; $i $info = $info . » » . $array [ «rows» ][ $i ]. » » . $array [ «values» ][ $i ]. » NOT NULL » ;
if( $i < count ( $array [ "rows" ])- 1 ) $info = $info . "," ;
>
$query = «CREATE TABLE » . $this -> private_tables_name . $array [ «table» ]. » » ;
$query .= «( id INT NOT NULL AUTO_INCREMENT PRIMARY KEY, » . $info . » )» ;
return $query ;
>
>
>else return «Error» ;
>
>
/* the use is simple */
$database = new database (); // connection to database i used mysqli .
$array = array( «table» => «MRO» , «rows» =>array( «name» , «username» ) , «values» => array( «VARCHAR (50) » , » VARCHAR (50) » ) );
$query = array_create_table ( $array ); // convert and create the query .
if( $database -> query ( $query )) echo «Work» ; else echo «Error» ; // result : work
12 years ago
The exact type returned by a successful query is mysqli_result.
10 years ago
or you could just extend the class.
in my case i already had a wraper for the db so something like this was easy :
public function free($result)
just tried it and it works like a charm 😉
5 years ago
This Is A Secure Way To Use mysqli::query
———————————————————
function secured_query ( $sql )
$connection = new mysqli ( $host , $username , $password , $name );
if ( $connection -> connect_error )
die( «Secured» );
$result = $connection -> query ( $sql );
if( $result == FALSE )
die( «Secured» );
$connection -> close ();
return $result ;
>
/*
$host —> DataBase IP Address
$username —> DataBase Username
$password —> DataBase Password
$name —> DataBase Name
*/
?>
10 years ago
Recently I had puzzling problem when performing DML queries, update in particular, each time a update query is called and then there are some more queries to follow this error will show on the page and go in the error_log:
«Fatal error: Exception thrown without a stack frame in Unknown on line 0»
The strange thing is that all queries go through just fine so it didn’t make much sense:
$update = mysqli_query($connection, $query_string);
if(!$update) echo ‘Houston we have a problem ‘.mysqli_error($connection);
exit;
>
In the above example «$update» is «true», mysqli_error() is empty and of course the update operation goes through, however the nasty super cryptic error appears on the page.
What makes even less sense to me is how I fixed it — just called «mysqli_free_result» after the update query and the problem was gone, however because mysqli_free_result is not supposed to be called after DML queries (to free what, a boolean? lol) it needs to be wrapped in a try catch block:
try mysqli_free_result($update);
>catch (Exception $e) //do nothing
>
So, I don’t know why but it seems that when DML queries are responsible for:
«Fatal error: Exception thrown without a stack frame in Unknown on line 0»
calling «mysqli_free_result» after the query seems to be fixing the issue
6 years ago
If you use the default resultmode of MYSQLI_STORE_RESULT, you can call $mysqli->close() right after $mysqli->query and before you use mysqli_result. This reduces the time the connection is open, which can help if the database server has a limit on how many connections there can be.
6 years ago
I don’t know is it bug or something , then first I write it here . Query SHOW with MYSQLI_USE_RESULT option don’t show num_rows :
SHOW TABLES LIKE [ some table ], MYSQLI_USE_RESULT
num_rows // shows 0 !
?>
- Copyright © 2001-2023 The PHP Group
- My PHP.net
- Contact
- Other PHP.net sites
- Privacy policy
Что возвращает mysql query
Для получения данных в MySQL применяется команда SELECT . Например, получение всех данных из таблицы Users:
SELECT * FROM Users
Рассмотрим получение данных на примере таблицы Users, созданной в прошлых, которая имеет следующее определение:
CREATE TABLE Users (id INTEGER AUTO_INCREMENT PRIMARY KEY, name VARCHAR(30), age INTEGER)
Объектно-ориентированный стиль
При выполнении команды SELECT метод query() объекта mysqli возвращает набор полученных строк, который мы можем перебрать с помощью цикла. Например, перебор с помощью цикла foreach :
$sql = "SELECT * FROM Users"; if($result = $conn->query($sql)) < foreach($result as $row)< $userid = $row["id"]; $username = $row["name"]; $userage = $row["age"]; >>
Здесь $result представляет набор строк. Каждый его элемент, который передается в переменную $row , хранит данные отдельной строки в виде ассоциативного массива, где ключи элементов — названия столбцов.
Вместо цикла foreach также можно использовать другие виды циклов. Например, применение цикла while :
$sql = "SELECT * FROM Users"; if($result = $conn->query($sql))< while($row = $result->fetch_array()) < $userid = $row["id"]; $username = $row["name"]; $userage = $row["age"]; >>
В данном случае метод $result->fetch_array() выбирает текущую строку из набора в переменную $row и переходит к следующей. Когда строк не останется, метод возвратит false , и произойдет выход из цикда. Полученное значени $row опять же представляет строку в виде ассоциативного массива.
После окончания работы с полученным набором строк мы можем очистить отведенную для него память с помощью метода free() :
$result->free();
Теперь посмотрим на примере. Определим скрипт index.php , которая будет выводить значения из таблицы Users:
METANIT.COM Список пользователей
connect_error)< die("Ошибка: " . $conn->connect_error); > $sql = "SELECT * FROM Users"; if($result = $conn->query($sql))< $rowsCount = $result->num_rows; // количество полученных строк echo "Получено объектов: $rowsCount
"; echo "
Id | Имя | Возраст |
---|---|---|
" . $row["id"] . " | "; echo "" . $row["name"] . " | "; echo "" . $row["age"] . " | "; echo "
Таким образом, при обращении к скрипту index.php браузер отобразит список данных, полученных из БД:
Дополнительно стоит отметить, что с помощью свойства $result->num_rows мы можем получить количество строк, извлеченных из БД.
Процедурный стиль
При процедурном стиле функция mysqli_query() при успешном выполнении команды SELECT возвращает набор строк, который можно перебрать с помощью цикла:
$sql = "SELECT * FROM Users"; if($result = mysqli_query($conn, $sql)) < foreach($result as $row)< $userid = $row["id"]; $username = $row["name"]; $userage = $row["age"]; >>
Как и при объектно-ориентированном подходе, полученные строки представляют ассоциативные массивы, где ключи элементов — названия столбцов.
Пример перебоа с помощью цикла while :
$sql = "SELECT * FROM Users"; if($result = mysqli_query($conn, $sql)) < while($row = mysqli_fetch_array($result))< $userid = $row["id"]; $username = $row["name"]; $userage = $row["age"]; >>
Функция mysqli_fetch_array() выбирает текущую строку из набора в переменную $row и переходит к следующей. Когда строк не останется, метод возвратит false , и произойдет выход из цикла.
После окончания работы с полученным набором строк мы можем очистить отведенную для него память с помощью функции mysqli_free_result() , в которую передается полученный набор строк:
mysqli_free_result($result);
METANIT.COM Список пользователей
$sql = "SELECT * FROM Users"; if($result = mysqli_query($conn, $sql))< $rowsCount = mysqli_num_rows($result); // количество полученных строк echo "Получено объектов: $rowsCount
"; echo "
Id | Имя | Возраст |
---|---|---|
" . $row["id"] . " | "; echo "" . $row["name"] . " | "; echo "" . $row["age"] . " | "; echo "
Почему $mysql->query($query) иногда возвращает массив, а иногда объект
Там написано что возвращается либо объект mysqli_result либо boolean . И посему вопрос — откуда автор вопроса взял массив?
29 авг 2019 в 12:59
1 ответ 1
Сортировка: Сброс на вариант по умолчанию
Потому что mysqli_result — это объект с мета-даными и контентом, которые были найдены в при вашем запросе. Чтобы полчить сами записи вы должны обратиться к методу mysqli_fetch_assoc() и передать туда ваш полученный объект $result .
Отслеживать
ответ дан 29 авг 2019 в 19:48
1,218 5 5 серебряных знаков 14 14 бронзовых знаков
- php
- mysql
- mysqli
- Важное на Мете
Похожие
Подписаться на ленту
Лента вопроса
Для подписки на ленту скопируйте и вставьте эту ссылку в вашу программу для чтения RSS.
Дизайн сайта / логотип © 2023 Stack Exchange Inc; пользовательские материалы лицензированы в соответствии с CC BY-SA . rev 2023.11.29.1670
Нажимая «Принять все файлы cookie» вы соглашаетесь, что Stack Exchange может хранить файлы cookie на вашем устройстве и раскрывать информацию в соответствии с нашей Политикой в отношении файлов cookie.
Что возвращает mysql query
На уровне кода SQL получение данных осуществляется с помощью команды SELECT . Например, получение всех данных из таблицы Users:
SELECT * FROM Users
В библиотеке pdo для получения данных у объекта PDO вызывается метод query() , в который передается команда SQL. Метод query() возвращает объект PDOStatement , который представляет набор всех полученных из базы данных строк.
$sql = "SELECT * FROM Users"; $result = $conn->query($sql);
Получив объект PDOStatement, мы можем извлечь данные. В частности, его метод fetch() при первом обращении первую строку (если в наборе есть строки):
$row = $result->fetch();
При последующих обращениях метод fetch() возвращает следующие строки, пока в наборе не останется строк. Если строк в наборе больше нет, то метод возвращает false . Поэтому для получения всех строк удобно использовать циклы. Например, цикл while :
while($row = $result->fetch()) < // обработка строк >
Таким образом, при каждой итерации цикл while будет получать новую строку из набора в переменную $row , пока метод $result->fetch() не возвратит false — после чего произойдет выход из цикла.
Строка возвращается в виде ассоциативного массива, где отдельные значения — это столбцы строки, а ключи этих значений — названия столбцов таблицы. Например, получение значения столбца «name» в переменную:
while($row = $result->fetch()) < $username = $row["name"]; // операции с $username >
Вместо цикла while можно использовать цикл for/foreach. Например:
foreach($result as $row) < $username = $row["name"]; // операции с $username >
Здесь явным образом не вызывается метод $result->fetch() . Формально мы просто перебираем переменную $result как обычный массив, также помещая каждую строку в переменную $row .
Теперь все объединим и получим данные из таблицы Users из прошлых тем, которая имеет следующее определение:
CREATE TABLE Users (id INTEGER AUTO_INCREMENT PRIMARY KEY, name VARCHAR(30), age INTEGER)
Для этого определим следующий простенький скрипт:
query($sql); echo "
Id | Name | Age |
---|---|---|
" . $row["id"] . " | "; echo "" . $row["name"] . " | "; echo "" . $row["age"] . " | "; echo "