Вставка данных в базу данных Oracle с использованием PHP

Question

Вставка данных в базу данных Oracle с использованием PHP

0

Вставка данных в Oracle с использованием oci_8. Пример запроса для вставки строки со специальными символами или кавычками

 update TABLENAME set COMMENTS = 'As per Mark email dated 28-Feb-2015 - Bill Gates & Team effort' where ID = 99;

Вставить/обновить

$query = 'update TABLENAME set COMMENTS = '$_POST[comments]';

$result = customexecute($new_query);

public function customexecute($query)
{

    $resutlt = parent::customquery($query);
    return $resutlt;
}


public static function customquery($query)
{

  try{

        $stmt = oci_parse($conn, $query);
        oci_execute($stmt,OCI_COMMIT_ON_SUCCESS);
        oci_commit(db_singleton::getInstance());
        oci_free_statement($stmt);
        }catch (Exception  $e)
        {
            print_r($e);
        }

    }

Выполняя его в ORACLE DB, он говорит, SQl command not properly ended. Посмотрел на Parameterized queries упомянутые здесь, но не смог интегрировать их успешно.

$query = 'UPDATE tablename SET field = :field WHERE id = :id';
$stmt = oci_parse($oracleConnection, $query);
oci_bind_by_name($stmt, ':field', "The field value with 'apostrophes' and so");
oci_bind_by_name($stmt, ':id', '125');
$result = oci_execute($stmt);

Я могу передать :bind_comments в моем запросе, который находится в моем контроллере. Но $stmt находится в моем файле db_singleton (общий для всех запросов БД) и не может проходить отдельно для отдельного запроса.

Как я могу дезинфицировать ввод пользователя или не разрешать использование данных при создании кода SQL

Slimshadddyyy 05 март 2015, в 08:26

Источник

0

Можете ли вы опубликовать полный фрагмент, пожалуйста? Мне не хватает кода, который создает строку SQL ( $query ) и часть связывания.
Mureinik 05 март 2015, в 07:13
0

@Mureinik проверь фрагмент.
Slimshadddyyy 05 март 2015, в 08:19

Теги:

php

oracle

prepared-statement

oci

3 ответа

0

Нет, неудивительно, что функции MySQL не будут работать с Oracle DB :)

Вам нужно параметризовать вещи, например:

$query = 'update TABLENAME set COMMENTS = :bind_comments where id = :bind_id';
$stmt = $dbh->prepare($query);
$stmt->bindParam(':bind_comments', $_POST['comments']);
$stmt->bindParam(':bind_id', $_POST['id']);

$stmt->execute();

Rob G 05 март 2015, в 07:18

0

Я могу передать :bind_comments в моем запросе, который находится в контроллере. Но $stmt находится в моем файле db_singleton (общий для запросов к БД) и не может проходить отдельно для отдельного запроса.
Slimshadddyyy 05 март 2015, в 08:45
0

Вам не нужно передавать $ stmt из вашего синглтона. Оператор генерируется каждый раз, когда вы готовите запрос ( $dbh->prepare($query); строка). Все, что вам нужно, это получить доступ к $dbh (обработчику базы данных) из вашего кода. В любом случае, этот код использует PDO, а диски Oracle PDO не рекомендуются для доступа к базе данных Oracle (он помечен как экспериментальный: php.net/manual/en/ref.pdo-oci.php ).
mHouses 05 март 2015, в 08:54
0

Согласовано. Как уже говорили другие, для Oracle я бы использовал OCI, а не PDO. Используйте массив, если вам нужно передать несколько параметров связывания и их значения
Rob G 05 март 2015, в 10:40

Показать ещё 1 комментарий

0

Правильный способ использования расширений PHP OCI8:

$query = 'UPDATE tablename SET field = :field WHERE id = :id';
$stmt = oci_parse($oracleConnection, $query);
oci_bind_by_name($stmt, ':field', "The field value with 'apostrophes' and so");
oci_bind_by_name($stmt, ':id', '125');
$result = oci_execute($stmt);

Дополнительная информация: http://php.net/manual/book.oci8.php

mHouses 05 март 2015, в 06:41

0

mHouse: правильный путь упоминается в руководстве, но как я могу изменить в соответствии с приведенной выше структурой кода?
Slimshadddyyy 05 март 2015, в 09:02

Ещё вопросы

Можете ли вы опубликовать полный фрагмент, пожалуйста? Мне не хватает кода, который создает строку SQL ( $query ) и часть связывания.
Я могу передать :bind_comments в моем запросе, который находится в контроллере. Но $stmt находится в моем файле db_singleton (общий для запросов к БД) и не может проходить отдельно для отдельного запроса.
Вам не нужно передавать $ stmt из вашего синглтона. Оператор генерируется каждый раз, когда вы готовите запрос ( $dbh->prepare($query); строка). Все, что вам нужно, это получить доступ к $dbh (обработчику базы данных) из вашего кода. В любом случае, этот код использует PDO, а диски Oracle PDO не рекомендуются для доступа к базе данных Oracle (он помечен как экспериментальный: php.net/manual/en/ref.pdo-oci.php ).
Согласовано. Как уже говорили другие, для Oracle я бы использовал OCI, а не PDO. Используйте массив, если вам нужно передать несколько параметров связывания и их значения
mHouse: правильный путь упоминается в руководстве, но как я могу изменить в соответствии с приведенной выше структурой кода?

timclutton · Accepted Answer · 2015-03-12T07-18-00.000Z

0

Лучший ответ

Из функции обновления передайте все необходимое для выполнения функции:

$result = customExecute(
    'update xxx set comments=:COMMENTS where id=:ID',
    [
        ':COMMENTS' => $_POST['comment'],
        ':ID' => 99
    ]
);

Затем в функции execute просто перебираем массив для привязки всех параметров:

public static function customExecute($sql, array $params = [])
{
    $stmt = oci_parse($conn, $sql);
    foreach ($params as $key => &$value) {
        oci_bind_by_name($stmt, $key, $value);
    }
    $result = oci_execute($stmt);
    ...
}

timclutton 12 март 2015, в 07:18

0

Timclutton: $result = oci_execute($stmt);echo $result; , Выход 1
Slimshadddyyy 12 март 2015, в 09:44
0

Да, потому что возвращаемое значение из oci_execute - bool . Что вы ожидаете от $result ?
timclutton 12 март 2015, в 09:49
0

Согласитесь, но что, если я получаю некоторое значение от хранимой процедуры, которую необходимо связать с выходным параметром. Как я могу связать переменную PHP как вывод из переменной хранимой процедуры и вернуть это значение?
Slimshadddyyy 12 март 2015, в 09:59
0

В этом случае вам понадобится другая обработка; функция, которая знает, что она получает выходные значения, установленные с помощью oci_bind_by_name . Но теперь вы задаете вопрос, отличный от исходного. Прочтите эту статью для получения информации о вызове хранимых процедур из PHP (есть пример привязки выходных параметров, который фактически совпадает с привязкой входных параметров).
timclutton 12 март 2015, в 10:02
0

При выполнении вашего решения сгенерированный запрос Update TABLENAME set COMMENTS = :COMMENT WHERE ID =:ID; , Далее при выполнении его в SQL-разработчике, он говорит invalid host/bind variable name
Slimshadddyyy 12 март 2015, в 11:19
1

Timclutton: COMMENT - reserved слово в Oracle. Изменение его на MYCOMMENTS работает, хотя. Также, если у меня есть только одна переменная для привязки, нужно ли зацикливаться или просто использовать oci_bind_by_name($stmt,":MYCOMMENTS",$comments); ?
Slimshadddyyy 12 март 2015, в 12:02
0

Ах, конечно - я изменю свой ответ, чтобы избежать путаницы. Вы можете использовать один и тот же метод цикла для 1 или более переменных (даже для ни одной!).
timclutton 12 март 2015, в 12:07
0

цикл отлично работает с 1 или более переменными. Не могли бы вы объяснить случай none для none ?
Slimshadddyyy 12 март 2015, в 12:40
1

Если в запросе нет параметров (например, select * from dual ), то передача пустого array приведет к тому, что цикл не будет выполнен и ничего не будет привязано. Еще лучше было бы сделать параметр необязательным ( function customExecute($sql, $params = []) ); тогда вы можете опустить параметр из вызова.
timclutton 12 март 2015, в 13:07
0

Проголосовал и принял. И тот, который мне был интересен в stackoverflow.com/questions/29002992/…
Slimshadddyyy 12 март 2015, в 13:09

Показать ещё 8 комментариев