PHP MySQL Class

Die russische Dokumentation ist hier

Sie können es als Archiv herunterladen, von dieser Website klonen oder über Composer herunterladen (Link zu packagist.org):

 composer require krugozor/database

krugozor/database ist eine PHP >= 8.0-Klassenbibliothek für einfaches, bequemes, schnelles und sicheres Arbeiten mit der MySql-Datenbank unter Verwendung der PHP-Erweiterung mysqli.

Die Hauptnachteile aller Bibliotheken für die Arbeit mit der MySQL-Datenbank in PHP sind:

• Ausführlichkeit
  • Entwickler haben zwei Möglichkeiten, SQL-Injections zu verhindern:
    • Verwenden Sie vorbereitete Abfragen.
    • Escapen Sie die Parameter manuell, die in den Hauptteil der SQL-Abfrage eingefügt werden. String-Parameter werden über mysqli_real_escape_string ausgeführt und die erwarteten numerischen Parameter werden in die entsprechenden Typen umgewandelt – int und float .
  • Beide Ansätze haben große Nachteile:
    • Vorbereitete Abfragen sind furchtbar ausführlich. Verwenden Sie eine „out of the box“-PDO-Abstraktion oder eine MySQL-Erweiterung, keine Aggregation aller Methoden zum Abrufen von Daten aus dem DBMS ist einfach unmöglich – um den Wert aus der Tabelle zu erhalten, müssen Sie mindestens 5 Zeilen Code schreiben! Und so weiter für jede Anfrage!
    • Das manuelle Escapen von Parametern, die in den Hauptteil einer SQL-Abfrage eingehen, wird nicht einmal besprochen. Ein guter Programmierer, fauler Programmierer. Alles sollte möglichst automatisiert ablaufen.
• Die SQL-Abfrage zum Debuggen kann nicht abgerufen werden
  • Um zu verstehen, warum die SQL-Abfrage im Programm nicht funktioniert, müssen Sie sie debuggen – entweder einen logischen Fehler oder einen Syntaxfehler finden. Um einen Fehler zu finden, müssen Sie die SQL-Abfrage selbst „sehen“, auf die die Datenbank „schwört“, mit Parametern, die in ihren Körper eingesetzt werden. Diese. hochwertiges SQL gebildet zu haben. Wenn der Entwickler PDO mit vorbereiteten Abfragen verwendet, dann ist das... UNMÖGLICH! In nativen Bibliotheken, die NICHT BEREITGESTELLT werden, gibt es hierfür keine besonders bequemen Mechanismen. Es bleibt entweder zu pervertieren oder in das Datenbankprotokoll zu klettern.

1. Eliminiert Ausführlichkeit – statt drei oder mehr Codezeilen zum Ausführen einer Anfrage schreiben Sie bei Verwendung der „nativen“ Bibliothek nur eine.
2. Überprüft alle Parameter, die an den Anforderungstext gehen, entsprechend der angegebenen Art von Platzhaltern – zuverlässiger Schutz vor SQL-Injections.
3. Ersetzt nicht die Funktionalität des „nativen“ MySQL-Adapters, sondern ergänzt ihn lediglich.
4. Erweiterbar. Tatsächlich bietet die Bibliothek nur einen Parser und die Ausführung einer SQL-Abfrage mit garantiertem Schutz vor SQL-Injections. Sie können von jeder Bibliotheksklasse erben und sowohl die Bibliotheksmechanismen als auch die Mechanismen mysqli und mysqli_result verwenden, um die Methoden zu erstellen, mit denen Sie arbeiten müssen.

Die meisten Wrapper für verschiedene Datenbanktreiber sind ein Haufen nutzloser Codes mit einer widerlichen Architektur. Ihre Autoren verstehen den praktischen Zweck ihrer Wrapper selbst nicht und verwandeln sie in eine Art Abfrage-Builder (SQL-Builder), ActiveRecord-Bibliotheken und andere ORM-Lösungen.

Die Bibliothek krugozor/database ist keines der oben genannten. Dies ist lediglich ein praktisches Tool für die Arbeit mit regulärem SQL innerhalb des MySQL DBMS-Frameworks – und nicht mehr!

Platzhalter – spezielle typisierte Markierungen , die anstelle expliziter Werte (Abfrageparameter) in die SQL-Abfragezeichenfolge geschrieben werden . Und die Werte selbst werden „später“ als nachfolgende Argumente an die Hauptmethode übergeben, die eine SQL-Abfrage ausführt:

 $ result = $ db -> query (
    " SELECT * FROM `users` WHERE `name` = '?s' AND `age` = ?i " ,
    " d'Artagnan " , 41
);

SQL-Abfrageparameter, die über das Platzhaltersystem übergeben werden, werden abhängig von der Art der Platzhalter durch spezielle Escape-Mechanismen verarbeitet. Diese. Sie müssen Variablen nicht mehr in Escape-Funktionen vom Typ mysqli_real_escape_string() einschließen oder sie wie zuvor in einen numerischen Typ umwandeln:

 <?php
// Previously, before each request to the DBMS, we did
// something like this (and many people still don't do it):
$ id = ( int ) $ _POST [ ' id ' ];
$ value = mysqli_real_escape_string ( $ mysql , $ _POST [ ' value ' ]);
$ result = mysqli_query ( $ mysql , " SELECT * FROM `t` WHERE `f1` = ' $ value ' AND `f2` = $ id " );

Jetzt ist es einfach geworden, Abfragen schnell zu schreiben, und was am wichtigsten ist: Die Bibliothek krugozor/database verhindert vollständig mögliche SQL-Injections.

Die Arten von Füllstoffen und ihre Verwendungszwecke werden im Folgenden beschrieben. Bevor Sie sich mit den Arten von Füllstoffen vertraut machen, müssen Sie verstehen, wie der Bibliotheksmechanismus funktioniert.

PHP ist eine schwach typisierte Sprache und bei der Entwicklung dieser Bibliothek entstand ein ideologisches Dilemma. Stellen wir uns vor, wir hätten eine Tabelle mit folgender Struktur:

 ` name ` varchar not null
` flag ` tinyint not null

und die Bibliothek MUSS (aus irgendeinem Grund, möglicherweise außerhalb der Kontrolle des Entwicklers) die folgende Anfrage ausführen:

 $ db -> query (
    " INSERT INTO `t` SET `name` = '?s', `flag` = ?i " ,
    null , false
);

In diesem Beispiel wird versucht, einen null in das not null -Textfeld name und einen false booleschen Typ in das numerische flag -Feld zu schreiben. Was sollen wir in dieser Situation tun?

• Wer sollte für die Validierung von Abfrageparametern verantwortlich sein – der Clientcode oder die Bibliothek?
• Sollten wir in diesem Fall die Programmausführung unterbrechen oder vielleicht einige Manipulationen vornehmen, damit die Daten in die Datenbank geschrieben werden?
• Können wir den Wert false für die Spalte tinyint als den Wert 0 und null als leere Zeichenfolge für die Spalte name behandeln?
• Wie können wir solche Probleme in unserem Code vereinfachen oder standardisieren?

Angesichts der aufgeworfenen Fragen wurde beschlossen, in dieser Bibliothek zwei Betriebsmodi zu implementieren.

• Mysql::MODE_STRICT – strikter Übereinstimmungsmodus für Platzhaltertyp und Argumenttyp . Im Mysql::MODE_STRICT -Modus muss der Argumenttyp mit dem Platzhaltertyp übereinstimmen . Beispielsweise führt der Versuch, den Wert 55.5 oder '55.5' als Argument für einen ganzzahligen Platzhalter ?i zu übergeben, dazu, dass eine Ausnahme ausgelöst wird:

 // set strict mode
$ db -> setTypeMode (Mysql:: MODE_STRICT );
// this expression will not be executed, an exception will be thrown:
// attempt to specify a value of type "integer" for placeholder of type "double" in query template "SELECT ?i"
$ db -> query ( ' SELECT ?i ' , 55.5 );

• Mysql::MODE_TRANSFORM – Argumentkonvertierungsmodus in Platzhaltertyp, wenn Platzhaltertyp und Argumenttyp nicht übereinstimmen. Der Mysql::MODE_TRANSFORM -Modus ist standardmäßig eingestellt und ein „toleranter“ Modus – wenn der Platzhaltertyp und der Argumenttyp nicht übereinstimmen, wird keine Ausnahme ausgelöst, sondern versucht, das Argument mithilfe von in den gewünschten Platzhaltertyp zu konvertieren PHP-Sprache selbst . Übrigens verwende ich als Autor der Bibliothek immer diesen speziellen Modus. Ich habe den strikten Modus ( Mysql::MODE_STRICT ) noch nie in der Praxis verwendet, aber vielleicht benötigen Sie ihn speziell.

Die folgenden Transformationen sind in Mysql::MODE_TRANSFORM zulässig:

• In Typ int umwandeln (Platzhalter ?i )
  • Gleitkommazahlen, die sowohl im string als auch im double -Typ dargestellt werden
  • bool TRUE wird in int(1) konvertiert, FALSE wird in int(0) konvertiert
  • null wird in int(0) konvertiert
• In Typ double umwandeln (Platzhalter ?d )
  • Ganzzahlen, die sowohl im string als auch im int -Typ dargestellt werden
  • bool TRUE wird zu float(1) , FALSE wird zu float(0)
  • null wird in float(0) konvertiert
• In Typ- string umwandeln (Platzhalter ?s )
  • bool TRUE wird in string(1) "1" konvertiert, FALSE wird in string(1) "0" konvertiert. Dieses Verhalten unterscheidet sich von der Umwandlung bool in int in PHP, da in der Praxis der boolesche Typ in MySql häufig als Zahl geschrieben wird.
  • Ein numeric Wert wird gemäß den Konvertierungsregeln von PHP in eine Zeichenfolge konvertiert
  • null wird in string(0) "" konvertiert.
• In Typ null umwandeln (Platzhalter ?n )
  • irgendwelche Argumente.
• Für Arrays, Objekte und Ressourcen sind Konvertierungen nicht zulässig.

 $ db -> query (
    ' SELECT * FROM `users` WHERE `id` = ?i ' , 123
);

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT * FROM ` users ` WHERE ` id ` = 123

AUFMERKSAMKEIT! Wenn Sie mit Zahlen arbeiten, die außerhalb der Grenzen von PHP_INT_MAX liegen, dann:

• Betreiben Sie sie ausschließlich als Strings in Ihren Programmen.
• Verwenden Sie nicht diesen Platzhalter, sondern den String-Platzhalter ?s (siehe unten). Der Punkt ist, dass Zahlen außerhalb der Grenzen von PHP_INT_MAX von PHP als Gleitkommazahlen interpretiert werden. Der Bibliotheksparser versucht, den Parameter in den Typ int umzuwandeln, was zur Folge hat, dass das Ergebnis undefiniert ist, da die Gleitkommazahl nicht ausreichend präzise ist, um das korrekte Ergebnis zurückzugeben. In diesem Fall wird weder eine Warnung noch ein Kommentar angezeigt ! “ – php.net.

 $ db -> query (
    ' SELECT * FROM `prices` WHERE `cost` IN (?d, ?d) ' ,
    12.56 , ' 12.33 '
);

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT * FROM ` prices ` WHERE ` cost ` IN ( 12 . 56 , 12 . 33 )

AUFMERKSAMKEIT! Wenn Sie eine Bibliothek verwenden, um mit dem double Datentyp zu arbeiten, legen Sie das entsprechende Gebietsschema so fest, dass das Trennzeichen der Ganzzahl- und Bruchteile sowohl auf PHP-Ebene als auch auf DBMS-Ebene gleich ist.

Die Argumentwerte werden mit der Methode mysqli::real_escape_string() maskiert:

 $ db -> query (
    ' SELECT "?s" ' ,
    " You are all fools, and I am d'Artagnan! "
);

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT " You are all fools, and I am d'Artagnan! " 

Argumentwerte werden mithilfe der mysqli::real_escape_string() -Methode + der im LIKE-Operator verwendeten Sonderzeichen ( % und _ ) maskiert:

 $ db -> query ( ' SELECT "?S" ' , ' % _ ' );

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT " % _ " 

Der Wert aller Argumente wird ignoriert, Platzhalter werden in der SQL-Abfrage durch die Zeichenfolge NULL ersetzt:

 $ db -> query ( ' SELECT ?n ' , 123 );

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT NULL 

wobei das Zeichen * einer der Platzhalter ist:

• i (Integer-Platzhalter)
• d (Float-Platzhalter)
• s (Platzhalter vom Typ String)

Die Regeln für die Konvertierung und das Escapen sind dieselben wie für die oben beschriebenen einzelnen Skalartypen. Beispiel:

 $ db -> query (
    ' INSERT INTO `test` SET ?Ai ' ,
    [ ' first ' => ' 123 ' , ' second ' => 456 ]
);

SQL-Abfrage nach Vorlagenkonvertierung:

 INSERT INTO ` test ` SET ` first ` = " 123 " , ` second ` = " 456 " 

wobei * einer der Typen ist:

• i (Integer-Platzhalter)
• d (Float-Platzhalter)
• s (Platzhalter vom Typ String)

Die Konvertierungs- und Escape-Regeln sind dieselben wie für die oben beschriebenen einzelnen Skalartypen. Beispiel:

 $ db -> query (
    ' SELECT * FROM `test` WHERE `id` IN (?ai) ' ,
    [ 123 , 456 ]
);

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT * FROM ` test ` WHERE ` id ` IN ( " 123 " , " 456 " )

Beispiel:

 $ db -> query (
    ' INSERT INTO `users` SET ?A[?i, "?s"] ' ,
    [ ' age ' => 41 , ' name ' => " d'Artagnan " ]
);

SQL-Abfrage nach Vorlagenkonvertierung:

 INSERT INTO ` users ` SET ` age ` = 41 , ` name ` = " d'Artagnan " 

Beispiel:

 $ db -> query (
    ' SELECT * FROM `users` WHERE `name` IN (?a["?s", "?s"]) ' ,
    [ ' Daniel O"Neill ' , " d'Artagnan " ]
);

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT * FROM ` users ` WHERE ` name ` IN ( " Daniel O " Neill " , " d ' Artagnan") 

Dieser Platzhalter ist für Fälle gedacht, in denen der Name einer Tabelle oder eines Feldes in der Abfrage als Parameter übergeben wird. Feld- und Tabellennamen werden mit einem Apostroph umrahmt:

 $ db -> query (
    ' SELECT ?f FROM ?f ' ,
    ' name ' ,
    ' database.table_name '
);

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT ` name ` FROM ` database ` . ` table_name `

Die Bibliothek erfordert, dass der Programmierer die SQL-Syntax befolgt. Das bedeutet, dass die folgende Abfrage nicht funktioniert:

 $ db -> query (
    ' SELECT CONCAT("Hello, ", ?s, "!") ' ,
    ' world '
);

— Platzhalter ?s müssen in einfache oder doppelte Anführungszeichen gesetzt werden:

 $ db -> query (
    ' SELECT concat("Hello, ", "?s", "!") ' ,
    ' world '
);

SQL-Abfrage nach Vorlagenkonvertierung:

 SELECT concat( " Hello, " , " world " , " ! " )

Für diejenigen, die es gewohnt sind, mit PDO zu arbeiten, wird dies seltsam erscheinen, aber die Implementierung eines Mechanismus, der bestimmt, ob es notwendig ist, den Platzhalterwert in einem Fall in Anführungszeichen zu setzen oder nicht, ist eine sehr nicht triviale Aufgabe, die das Schreiben eines ganzen Parsers erfordert .

Siehe in der Datei ./console/tests.php