Comment appliquer la méthode bindValue dans la clause LIMIT?

Question

Voici un aperçu de mon code:

$fetchPictures = $PDO->prepare("SELECT * 
    FROM pictures 
    WHERE album = :albumId 
    ORDER BY id ASC 
    LIMIT :skip, :max"); 

$fetchPictures->bindValue(':albumId', $_GET['albumid'], PDO::PARAM_INT); 

if(isset($_GET['skip'])) { 
    $fetchPictures->bindValue(':skip', trim($_GET['skip']), PDO::PARAM_INT);  
} else { 
    $fetchPictures->bindValue(':skip', 0, PDO::PARAM_INT); 
} 

$fetchPictures->bindValue(':max', $max, PDO::PARAM_INT); 
$fetchPictures->execute() or die(print_r($fetchPictures->errorInfo())); 
$pictures = $fetchPictures->fetchAll(PDO::FETCH_ASSOC); 

Je reçois

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''15', 15' at line 1

Il semble que PDO ajoute des guillemets simples à mes variables dans la partie limite du code SQL. J'ai regardé vers le haut j'ai trouvé ce bogue que je pense est lié: http://bugs.php.net/bug.php?id=44639

Est-ce que c'est ce que je regarde? Ce bug a été ouvert depuis avril 2008! Que sommes-nous censés faire en attendant?

J'ai besoin de construire une pagination, et je dois m'assurer que les données sont propres, sans danger pour l'injection SQL, avant d'envoyer l'instruction sql.

Answer 1

Convertissez la valeur en entier avant de la transmettre à la fonction de liaison. Je pense que cela résout.

$fetchPictures->bindValue(':skip', (int) trim($_GET['skip']), PDO::PARAM_INT); 

Answer 2

En regardant le rapport de bogue, ce qui suit pourrait fonctionner:

$fetchPictures->bindValue(':albumId', (int)$_GET['albumid'], PDO::PARAM_INT); 

$fetchPictures->bindValue(':skip', (int)trim($_GET['skip']), PDO::PARAM_INT); 

mais êtes-vous sûr que vos données d'entrée est correcte? Parce que dans le message d'erreur, il semble y avoir seulement une citation après le nombre (par opposition au nombre entier étant placé entre guillemets). Cela peut également être une erreur avec vos données entrantes. Pouvez-vous faire un print_r($_GET); pour le savoir? Je me souviens d'avoir eu ce problème auparavant.

Answer 3

pour LIMIT :init, :end

Vous devez lier cette façon. si vous aviez quelque chose comme $req->execute(Array()); cela ne fonctionnera pas car il va lancer PDO::PARAM_STR à toutes les vars dans le tableau et pour le LIMIT vous avez absolument besoin d'un nombre entier. BindValue ou BindParam comme vous le souhaitez.

$fetchPictures->bindValue(':albumId', (int)$_GET['albumid'], PDO::PARAM_INT); 

Answer 4

j'ai fait ce qui suit sur le mien où $ info est mon tableau contenant mes paramètres liés:

preg_match('/LIMIT :(?P<limit>[0-9a-zA-Z]*)/', $sql, $matches); 
    if (count($matches)) { 
     //print_r($matches); 
     $sql = str_replace($matches[0], 'LIMIT ' . intval($info[':' . $matches['limit']]), $sql); 
    }  
    // LIMIT #, :limit# 
    preg_match('/LIMIT (?P<limit1>[0-9]*),\s?:(?P<limit2>[0-9a-zA-Z]*)/', $sql, $matches); 
    if (count($matches)) { 
     //print_r($matches); 
     $sql = str_replace($matches[0], 'LIMIT ' . $matches['limit1'] . ',' . intval($info[':' . $matches['limit2']]), $sql); 
    } 

Ceci est basé en partie sur le code de Sebas.

Answer 5

La solution la plus simple serait d'éteindre le emulation mode. Vous pouvez le faire soit comme une option de connexion ou simplement en ajoutant la ligne suivante

$PDO->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 

Il ne sera pas seulement de résoudre votre problème avec le paramètre de liaison, mais aussi vous laisser d'envoyer des valeurs dans l'exécution(), qui fera votre code shoter de façon spectaculaire

$skip = (isset($_GET['skip'])):$_GET['skip']:0; 
$sql = "SELECT * FROM pictures WHERE album = ? ORDER BY id ASC LIMIT ?, ?"; 
$PDO->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 
$stm = $PDO->prepare($sql); 
$stm->execute(array($_GET['albumid'],$skip,$max)); 
$pictures = $stm->fetchAll(PDO::FETCH_ASSOC); 

Answer 6

Ceci comme un résumé.
Il existe quatre options pour paramétrer les valeurs LIMIT/OFFSET:

1. Désactiver PDO::ATTR_EMULATE_PREPARES comme mentionné above.

   Ce qui empêche les valeurs transmises par ->execute([...]) de toujours apparaître comme des chaînes.

2. Passez à la population de paramètres ->bindValue(..., ..., PDO::PARAM_INT).

   Ce qui est cependant moins pratique qu'une -> liste d'exécution []. Il suffit de faire une exception ici et d'interpoler des entiers simples lors de la préparation de la requête SQL.

   $limit = intval($limit); 
   $s = $pdo->prepare("SELECT * FROM tbl LIMIT {$limit}"); 
   

   La coulée est importante. Plus communément, vous voyez ->prepare(sprintf("SELECT ... LIMIT %d", $num)) utilisé à de telles fins.

3. Si vous n'utilisez pas MySQL, mais par exemple SQLite, ou Postgres; vous pouvez également convertir des paramètres liés directement dans SQL.

   SELECT * FROM tbl LIMIT (1 * :limit) 
   

   Encore une fois, MySQL/MariaDB ne prennent pas en charge les expressions dans la clause LIMIT. Pas encore.

Answer 7

bindValue offset et limite en utilisant PDO :: PARAM_INT et il travaillera

Answer 8

Comme personne n'a expliqué pourquoi cela se produit, j'ajoute une réponse. La raison pour laquelle il se comporte c'est parce que vous utilisez trim(). Si vous regardez le manuel de PHP pour trim, le type de retour est string. Vous essayez ensuite de passer cela comme PDO::PARAM_INT. Voici quelques moyens de contourner ce problème:

1. Utilisez filter_var($integer, FILTER_VALIDATE_NUMBER_INT) pour vous assurer que vous transmettez un nombre entier.
2. Comme d'autres ont dit, en utilisant intval()
3. CASTING (int)
4. Vérification si elle est un entier avec is_int()

Il y a beaucoup d'autres façons, mais cela est essentiellement la cause racine.

Answer 9

// AVANT (erreur actuelle) $ query = ".... LIMIT: p1, 30;"; ... $ stmt-> bindParam (': p1', $ limiteInferior); // APRÈS (Erreur corrigée) $ query = ".... LIMIT: p1, 30;"; ... $ limiteInferior = (int) $ limiteInférieur; $ stmt-> bindParam (': p1', $ limiteInferior, PDO :: PARAM_INT);