准备好的语句可以在php中保存多个查询吗

【问题标题】:Can a prepared statement hold multiple queries in php准备好的语句可以在php中保存多个查询吗
【发布时间】:2019-10-27 23:36:19
【问题描述】:

我最近试图保护我的查询免受 SQL 注入。我已经开始将用于查询的字符串转换为语句,但是,我所做的一些字符串需要同时进行多个查询,因为一个插入的 id 将作为外键添加到下一个,我将通过使用 LAST_INSERT_ID() 获得,因此我需要它们一个接一个地执行。

一个语句可以同时保存多个查询并一次执行吗?

这是之前的代码,由作者提供。

$sql = "INSERT INTO `user_info`(`first_name`, `last_name`, `phone`, `cpf`) 
            VALUES ('{$firstName}', '{$lastName}', '{$phone}', '{$cpf}');";
$sql .= "SELECT LAST_INSERT_ID() INTO @mysql_variable_here;";
$sql .= "INSERT INTO `{$table}`(`email`, `password`, `active`,`user_info_id`, `created`, `role_id`" . $restaurantInsert . ")
            VALUES ('{$email}','{$password}', 1, @mysql_variable_here, '{$created}', {$role}" . $restaurantValue . " );"; 
$sql .= "INSERT INTO `address`(number, street, city, state, zip, district, country, created, user_info_id)
            VALUES ('{$number}', '{$street}', '{$city}', '{$stateCode}', '{$zip}', '{$district}', 'BR', '{$created}', @mysql_variable_here);";

$result = $conn->multi_query($sql);```

【问题讨论】:

  • 这不安全。没有使用multi_query 是安全的。将参数化查询与准备好的语句和事务一起使用。
  • $restaurantInsert$restaurantValue 中有什么内容?

标签: php sql mysqli prepared-statement


【解决方案1】:

您不能在prepared query 中执行多个语句:

预处理语句的 SQL 语法不支持多语句 (即,单个字符串中的多个语句,用 ; 分隔 字符)

因此您需要分别准备和执行每个查询,使用mysqli_stmt::insert_id 为第二个和第三个查询获取适当的id 值:

$sql = "INSERT INTO `user_info`(`first_name`, `last_name`, `phone`, `cpf`) 
            VALUES (?, ?, ?, ?)";
$stmt = $conn->prepare($sql);
$stmt->bind_param('ssss', $firstName, $lastName, $phone, $cpf);
$stmt->execute();
$insert_id = $stmt->insert_id;
$stmt->close();

$sql = "INSERT INTO `{$table}`(`email`, `password`, `active`,`user_info_id`, `created`, `role_id`" . $restaurantInsert . ")
            VALUES (?, ?, ?, ?, ?, ?, ?)";
$stmt = $conn->prepare($sql);
$stmt->bind_param('ssiisss', $email, $password, 1, $insert_id, $created, $role, $restaurantValue);
$stmt->execute();
$stmt->close();

$sql = "INSERT INTO `address`(number, street, city, state, zip, district, country, created, user_info_id)
            VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?);";
$stmt = $conn->prepare($sql);
$country = 'BR';
$stmt->bind_param('sssssssi', $number, $street, $city, $stateCode, $zip, $district, $country, $created, $insert_id);
$stmt->execute();
$stmt->close();

请注意,我不能 100% 确定您要使用 role_id" . $restaurantInsert . " 实现什么,您可能需要适当地编辑第二个查询才能使用它。

【讨论】:

    猜你喜欢
    • 2020-11-02
    • 2021-08-10
    • 2011-03-22
    • 2013-08-02
    • 1970-01-01
    • 1970-01-01
    • 2021-01-06
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode